Трохи більше 2 місяців тому, ми ділимося тут, у блозі, приміткою про бекдор у утиліті XZ, У цьому ж дописі я також поділився своєю думкою, в якій згадував і буду згадувати, що про цей випадок ще довго говоритимуть, оскільки «Це один із найкращих прикладів прикладної соціальної інженерії».
також У той час ми поділилися деякими додатковими публікаціями, де зібрано різні дії, які були вчинені у справі, а також як можлива ситуація і довго залишатиметься непоміченим.
А зараз, Автор і супровідник проекту xz Лассе Коллін оголосив про публікацію нових коригувальних версій. з XZ Utils 5.2.13, 5.4.7 і 5.6.2. Ці версії видаляють бекдори компонентів та інші підозрілі зміни, які раніше прийняв Jia Tan.
Разом з публікацією коригувальних версій, Лассе Коллін також поділився звітом про огляд сховища Git, включаючи внесені зміни з грудня 2022 року, коли Jia Tan був супроводжувачем проекту. У звіті детально описано зміни, які були проаналізовані на рівні окремих комітів, і згадується, що хоча коміти в репозиторії не мали цифрового підпису, жодних ознак маніпуляцій з боку комітів виявлено не було. Загалом зі сховища було видалено вісім шкідливих комітів.
Y хоча були деякі підозрювані зміни запровадження шкідливих змін з 2023 року, але ми можемо зауважити, що у звіті це детально описано Перші зміни, впроваджені для впровадження бекдору, датуються початком 2024 року, де Цзя Тан уже мав більше активності, пов’язаної з впровадженням бекдору в XZ.
Ці стиснені файли були створені та підписані Jia Tan. Вони були перевірені та не містять шкідливого вмісту.
Примітка
Теги v5.2.11 і v5.4.2 у сховищі Git були підписані Jia Tan, але файли tar були створені та підписані мною.
За наведеними нижче винятками, файли в сховищі Git збігаються з файлами tar:Файли .po оновлюються як частина make mydist (або make dist)
ChangeLog — це файл, створений в архівах tar.
Кожна версія доступна в більш ніж одному форматі стиснення. Декомпресія .tar однакова для всіх форматів стиснення кожної версії.
Списки файлів у zip-файлах хороші. Наприклад, той самий файл не з’являється більше одного разу.
PDF-файли важко відтворити, оскільки вони містять позначку часу, а також залежать від версії використовуваних інструментів. Однак PDF-файли виглядають нормально, і їх розміри також нормальні (вони відрізняються лише на кілька байтів).
У звіті також згадується код CRC CLMUL, який генерує помилкові спрацьовування під час перевірки за допомогою MSAN (засіб очищення пам’яті) і проблеми з OSS Fuzz, його ще не видалено з бази коду. Незважаючи на те, що цей код планується переробити в майбутньому, поки що було вирішено не торкатися його, щоб уникнути регресії в старих гілках. Не було виявлено жодних підозрілих змін у старих комітах, доданих до змін, пов’язаних із бекдором. Крім того, окремо було перевірено локалізацію po-файлів, метаданих у файлах tar, а також файлів із версіями та перекладами.
На додаток до цього, також Згадані зміни включають включення застарілих виправлень помилок і припинення підтримки механізму IFUNC передбачений у Glibc для непрямих викликів функцій, який використовувався для організації перехоплення функції бекдора. Важливо зазначити, що використання IFUNC лише ускладнює код, а приріст продуктивності незначний. Як запобіжний захід логотип XZ, PDF-версії довідкових сторінок і два тести для архітектур x86 і SPARC, які обробляли об’єктні файли як вхідні дані, також були видалені з вихідного пакета.
Як покращення, які були впроваджені, знайдено наприкладабо в декодері xzdec додано підтримку ABI версії 4 механізму ізоляції програм Landlock. Крім того, параметр «–enable-doxygen» було додано до сценаріїв збірки Autotools, а параметр ENABLE_DOXYGEN додано до сценарію Cmake для створення та встановлення документації для API liblzma за допомогою Doxygen. Раніше згенеровану документацію також було видалено з пакета, щоб зменшити розмір і складність.
нарешті, якщо ти є зацікавлений дізнатися більше про це, Подробиці публікації ви можете переглянути в наступне посилання.