В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор

Пятница, 29 Марта 2024 г. 22:24 + в цитатник

Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.

Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносной нагрузки (замаскированной под тестовый архив bad-3-corrupt_lzma2.xz) непосредственно в исполняемый файл библиотеки liblzma.

Особенность инцидента состоит в том, что вредоносные скрипты сборки, служащие "триггером" для бэкдора, содержатся только в распространяемых tar-архивах с исходным кодом и не присутствуют в git-репозитории проекта.

Сообщается, что человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему, либо стал жертвой серьёзной компрометации его личных учётных записей (но исследователь склоняется к первому варианту, т. к. этот человек лично участвовал в нескольких обсуждениях, связанных с вредоносными изменениями).

По ссылке исследователь отмечает, что в конечном итоге целью бэкдора, по-видимому, является инъекция кода в процесс sshd и подмена кода проверки RSA-ключей, и приводит несколько способов косвенно проверить, исполняется ли вредоносный код на вашей системе в данный момент.

Рекомендации по безопасности были выпущены проектами Arch Linux, Debian, Red Hat и openSUSE.

Разработчики Arch Linux отдельно отмечают, что хотя заражённые версии xz и попали в репозитории дистрибутива, дистрибутив остаётся в относительной "безопасности", т. к. sshd в Arch не линкуется с liblzma.

Проект openSUSE отмечает, что ввиду запутанности кода бэкдора и предполагаемого механизма его эксплуатации сложно установить "сработал" ли он хотя бы раз на данной машине, и рекомендует полную переустановку ОС с ротацией всех релевантных ключей на всех машинах, на которых хотя бы раз оказывались заражённые версии xz.

xz, бэкдор

https://www.linux.org.ru/news/security/17567724

<a href="https://www.liveinternet.ru/users/rss_rss_linux_org_ru/post504367666/">Р’ РєРѕРґРµ xz РІРµСЂСЃРёР№ 5.6.0 Рё 5.6.1 РѕР±РЅР°СЂСѓР¶РµРЅ Р±СЌРєРґРѕСЂ</a><br/>

Р Р°Р·СЂР°Р±РѕС‚С‡РёРє Debian Рё РёСЃСЃР»РµРґРѕРІР°С‚РµР»СЊ РІ СЃС„РµСЂРµ РёРЅС„РѕСЂРјР°С†РёРѕРЅРЅРѕР№ Р±РµР·РѕРїР°СЃРЅРѕСЃС‚Рё Andres Freund СЃРѕРѕР±С‰Р°РµС‚ РѕР± РѕР±РЅР°СЂСѓР¶РµРЅРёРё РІРµСЂРѕСЏС‚РЅРѕРіРѕ Р±СЌРєРґРѕСЂР° РІ РёСЃС…РѕРґРЅРѕРј РєРѕРґРµ xz РІРµСЂСЃРёР№ 5.6.0 Рё 5.6.1.
Р‘СЌРєРґРѕСЂ РїСЂРµРґСЃС‚Р°РІР»СЏРµС‚ СЃРѕР±РѕР№ СЃС‚СЂРѕС‡РєСѓ РІ РѕРґРЅРѕРј РёР· m4-СЃРєСЂРёРїС‚РѕРІ, РєРѕС‚РѕСЂР°СЏ РґРѕРїРёСЃС‹РІР°РµС‚ РѕР±С„СѓСЃС†РёСЂРѕРІР°РЅРЅС‹Р№ РєРѕРґ РІ РєРѕРЅРµС† СЃРєСЂРёРїС‚Р° configure. РС‚РѕС‚ РєРѕРґ Р·Р°С‚РµРј РјРѕРґРёС„РёС†РёСЂСѓРµС‚ РѕРґРёРЅ РёР· СЃРіРµРЅРµСЂРёСЂРѕРІР°РЅРЅС‹С… Makefile РїСЂРѕРµРєС‚Р°, С‡С‚Рѕ РІ РєРѕРЅРµС‡РЅРѕРј РёС‚РѕРіРµ РїСЂРёРІРѕРґРёС‚ Рє РїРѕРїР°РґР°РЅРёСЋ РІСЂРµРґРѕРЅРѕСЃРЅРѕР№ РЅР°РіСЂСѓР·РєРё (Р·Р°РјР°СЃРєРёСЂРѕРІР°РЅРЅРѕР№ РїРѕРґ С‚РµСЃС‚РѕРІС‹Р№ Р°СЂС…РёРІ bad-3-corrupt_lzma2.xz) РЅРµРїРѕСЃСЂРµРґСЃС‚РІРµРЅРЅРѕ РІ РёСЃРїРѕР»РЅСЏРµРјС‹Р№ С„Р°Р№Р» Р±РёР±Р»РёРѕС‚РµРєРё liblzma.
РћСЃРѕР±РµРЅРЅРѕСЃС‚СЊ РёРЅС†РёРґРµРЅС‚Р° СЃРѕСЃС‚РѕРёС‚ РІ С‚РѕРј, С‡С‚Рѕ РІСЂРµРґРѕРЅРѕСЃРЅС‹Рµ... <a href="https://www.liveinternet.ru/users/rss_rss_linux_org_ru/post504367666/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Комментировать

« Пред. запись — К дневнику — След. запись »

Страницы: [1] [Новые]

LiveInternetLiveInternet

-Поиск по дневнику

-Подписка по e-mail

-Постоянные читатели

-Статистика

В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор