Wygląda na to, że jeden z twórców alertów zapobiegł dystrybucji backdoora — prawdopodobnie umieszczonego w narzędziu lobbującym przez podmioty wspierane przez państwo — do produkcyjnych systemów Linux. Wygląda na to, że złośliwy kod umożliwia ominięcie kontroli podczas uwierzytelniania SSH.
Anders Freund, inżynier oprogramowania firmy Microsoft, który odkrył backdoora w xz Utils, powiedział, że złośliwy kod został wprowadzony w wersjach 5.6.0 i 5.6.1. Pojawiły się wątpliwości, czy może to być działanie państwowe, gdyż ustawa obowiązuje od dawna.
Freunda książki w piątek: „Po zauważeniu dziwnych symptomów związanych z biblioteką liblzma (część pakietu xz) w instalacjach sid Debiana w ciągu ostatnich tygodni (logowania ssh pochłaniają dużo procesora, błędy valgrind) wymyśliłem odpowiedź: repozytorium xz wyższego szczebla ma Wrzucałem kulki smoły xz tylnymi drzwiami.
„Na początku myślałem, że to kompromis dla pakietu Debiana, ale okazało się, że był to pierwszy krok.”
Jeden z deweloperów, o którym mowa, pod pseudonimem JiaT75, pracuje jako opiekun pakietu od ponad dwóch lat. „Biorąc pod uwagę działania, które trwały od kilku tygodni, sprawca był albo bezpośrednio zaangażowany, albo w jego systemie doszło do skrajnego kompromisu” – dodał Freund.
„Niestety to drugie wydaje się najmniej prawdopodobnym wyjaśnieniem, biorąc pod uwagę, że na różnych listach mówiono o wspomnianych powyżej „reformach”. Odniósł się do różnych wtyczek sugerowanych przez podejrzanego moderatora w celu naprawienia problemów z kodem: Tutaj, Tutaj, TutajI Tutaj. [Thanks to Dan Goodin for these four links.}
SSH or secure shell is an utility used to log in securely to systems, with the majority of Linux systems using a port known as OpenSSH that is maintained by the OpenBSD project, an Unix clone.
The only production Linux system in which the doctored code was distributed appears to have been the Tumbleweed stream put out by the OpenSUSE project. The developers at that project wrote on Friday: „For our openSUSE Tumbleweed users where SSH is exposed to the Internet, we recommend installing fresh, as it’s unknown if the backdoor has been exploited.
„Due to the sophisticated nature of the backdoor an on-system detection of a breach is likely not possible. Also rotation of any credentials that could have been fetched from the system is highly recommended.
„It has been established that the malicious file introduced into Tumbleweed is not present in SUSE Linux Enterprise and/or Leap. Current research indicates that the backdoor is active in the SSH Daemon, allowing malicious actors to access systems where SSH is exposed to the Internet.”
Debian issued patched versions of xz Utils for its testing, experimental and unstable streams of development. Red Hat said on Friday, „Fedora Linux 40 users may have received version 5.6.0, depending on the timing of system updates. Fedora Rawhide users may have received version 5.6.0 or 5.6.1.”
„At this time the Fedora Linux 40 builds have not been shown to be compromised. We believe the malicious code injection did not take effect in these builds. However, Fedora Linux 40 users should still downgrade to a 5.4 build to be safe.”
Later, Red Hat added: „We have determined that Fedora Linux 40 beta does contain two affected versions of xz libraries – xz-libs-5.6.0-1.fc40.x86_64.rpm and xz-libs-5.6.0-2.fc40.x86_64.rpm. At this time, Fedora 40 Linux does not appear to be affected by the actual malware exploit, but we encourage all Fedora 40 Linux beta users to revert to 5.4.x versions.”
It is likely to be quite some time before calm returns; former senior Debian developer Joey Hess provided one reason, noting that the accounts used by the suspected malicious actors had made more than 700 commits [code contributions] W ciągu ostatnich dwóch lat.
„Liczę co najmniej 750 zatwierdzeń lub wkładów do xz przez Jia Tan, która wykonała backdoor. Obejmuje to wszystkie 700 zatwierdzeń dokonanych po połączeniu żądania ściągnięcia 7 stycznia 2023 r., kiedy to wydaje się, że mieli już płatny dostęp, co umożliwiłoby im również spłatę zobowiązań wobec fałszywych autorów, a prawdopodobnie także szeregu innych zobowiązań wcześniej.
„Przywrócenie backdoora do poprzedniej wersji nie wystarczy, aby wiedzieć, że Jia Tan nie ukrył w nim innych backdoorów. Wersja 5.4.5 nadal zawiera większość tych zatwierdzeń.”
Dodał: „Pakiet musi zostać przywrócony do poprzedniej wersji [the bad actors’] Udostępnianie, które rozpoczęło się od zatwierdzenia 6468f7e41a8e9c611e4ba8d34e2175c5dacdbeb4. Albo ich wczesne zobowiązania [should be] Są one sprawdzane i powracane do nich później, ale jakiekolwiek arbitralne zlecenie ze strony znanego złego i złośliwego aktora jest z pewnością warte mniej niż ryzyko niezauważenia dokładnej zmiany.
„Sugeruję powrót do wersji 5.3.1 – pamiętając, że od tego momentu wprowadzono poprawki bezpieczeństwa… które należy zastosować ponownie.”
Wygląda na to, że osoba, która stała się podejrzana, oferowała pomoc również spoza listy, co mogło być próbą zjednania sobie przychylności innych programistów i rozwiania w ten sposób wszelkich wątpliwości związanych z tymi ofertami, gdyby się pojawiły.
Zgodnie z oczekiwaniami toczyły się długie dyskusje na ten temat; Cotygodniowe wiadomości dotyczące Linuksa Ma długi sznurek Tutajchwila Wiadomości pirackie Miał ponad 2000 postów [when I last looked] Tutaj.
„Chcę być miłośnikiem telewizji. Certyfikowany entuzjasta popkultury. Stypendysta Twittera. Student amator.”
More Stories
„Ghost Of Tsushima” jest już zalany negatywnymi recenzjami na Steamie
Assassin's Creed Shadows eksploruje feudalną Japonię – Ubisoft wypuszcza pierwszy zwiastun w listopadzie
Zdjęcia szpiegowskie: Lamborghini Temerario 2025 przyłapane we Włoszech