Раздел Технологии выходит при поддержке Favbet Tech
В популярном пакете xz Utils для сжатия данных без потерь и работы с форматом .xz обнаружили бэкдор Бекдор — это метод обхода стандартных процедур аутентификации, несанкционированный удаленный доступ к компьютеру.
В пятницу пользователи призвали немедленно прекратить пользоваться дистрибутивами Fedora 41 версии 5.6.0 и Fedora Rawhide версии 5.6.0 или 5.6.1.
Есть подозрения относительно других дистрибутивов. Однако на данный момент подтверждения отсутствуют.
ArsTechnica рассказала детали инцидента.
xz Utils
XZ Utils — это набор бесплатных программ для сжатия данных. Есть в каждом дистрибутиве Linux и в других Unix-подобных операционных системах.
xz Utils предоставляет критически важные функции для сжатия и распаковки данных во время всех видов операций.
Курс QA Manual (Тестування ПЗ мануальне) від Powercode academy. Навчіться знаходити помилки та контролювати якість сайтів та додатків. Записатися на курс
Что случилось?
Первым проблему заметил разработчик Андрес Фройнд, который работает над предложениями Microsoft PostgreSQL. Недавно он решал проблемы производительности системы Debian с SSH, наиболее распространенным протоколом для удаленного входа в устройства через Интернет.
В частности, вход через SSH сильно загружал процессор и генерировал ошибки с valgrind, утилитой для мониторинга памяти.
В конце концов он обнаружил, что проблемы являются результатом обновлений xz Utils. Разработчик официально обратился в Open Source Security List и заявил, что обновления являются результатом того, что кто-то намеренно установил бэкдор в XZ Utils.
Что делает бэкдор?
Вредоносный код, добавленный в xz Utils версии 5.6.0 и 5.6.1, изменил способ работы программного обеспечения во время выполнения операций.
Когда эти функции включали SSH, они позволяли выполнять вредоносный код с root-правами. Он позволяет кому-то, кто владеет заранее определенным ключом шифрования, войти в бэкдорную систему через SSH.
Курс QA Manual (Тестування ПЗ мануальне) від Powercode academy. Навчіться знаходити помилки та контролювати якість сайтів та додатків. Записатися на курс
Таким образом лицо имело бы тот же уровень контроля, что и любой авторизованный администратор.
Бекдор создавался годами
Эксперты отметили, что создание бэкдора заняло не один год.
В 2021 году пользователь JiaT575 впервые принял участие в опенсорс-проекте.
Оглядываясь назад, изменения в проекте libarchive вызывают подозрение, поскольку они заменили функцию safe_fprint на вариант, который давно считался менее безопасным. Тогда этого никто не заметил.
В следующем году JiaT575 представил исправление для списка рассылки xz Utils, и почти сразу к обсуждению присоединился никому ранее не замеченный участник, который утверждал, что разработчик xz Utils Лассе Коллин давно не обновлял программное обеспечение.
Такое давление привело к тому, что к проекту присоединили JiaT575.
В январе 2023 года он впервые принял участие в разработке. И в последующие месяцы, как утверждается, он все больше и больше вовлекался в процесс.
- JiaT575 заменил контактную информацию Коллинза своей собственной в oss-fuzz от Microsoft, проекте, который сканирует программное обеспечение с открытым кодом на признаки злонамеренности.
- Также он сделал, чтобы отключили функцию ifunc во время тестирования. Это позволило системе безопасности проигнорировать внесенные изменения.
- В феврале 2024 года JiaT575 выдал комиты для версий 5.6.0 и 5.6.1 xz Utils. Обновления реализовали бэкдор.
В последующие недели Тан и другие призывали разработчиков Ubuntu, Red Hat и Debian добавить апдейты в обновления системы. И даже некоторые должны были выйти в ближайшее время.
Бекдор реализован с помощью пятиступенчатого загрузчика, который использует ряд простых, но умных методов, чтобы скрыть себя. Он также обеспечивает средства для доставки новых полезных нагрузок без необходимости серьезных изменений.
Раздел Технологии выходит при поддержке Favbet Tech
Favbet Tech – это IT-компания со 100% украинской ДНК, которая создает совершенные сервисы для iGaming и Betting с использованием передовых технологий и предоставляет доступ к ним. Favbet Tech разрабатывает инновационное программное обеспечение через сложную многокомпонентную платформу, способную выдерживать огромные нагрузки и создавать уникальный опыт для игроков. IT-компания входит в группу компаний FAVBET.
Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!
