Uno degli sviluppatori che hanno segnalato l'allarme sembra aver impedito che la backdoor, probabilmente inserita in uno strumento di lobbying da parte di attori sostenuti dallo stato, venisse distribuita ai sistemi Linux di produzione. Sembra che il codice dannoso consenta di aggirare i controlli durante l'autenticazione SSH.
Anders Freund, l'ingegnere del software Microsoft che ha scoperto la backdoor in xz Utils, ha affermato che il codice dannoso è stato introdotto nelle versioni 5.6.0 e 5.6.1. Sono sorti dubbi sul fatto che si tratti di un atto sponsorizzato dallo Stato perché la legge è in vigore da molto tempo.
amico libri venerdì: “Dopo aver notato alcuni strani sintomi su liblzma (parte del pacchetto xz) sulle installazioni sid Debian nelle ultime settimane (login con ssh che consumano molta CPU, errori valgrind) ho trovato la risposta: un repository xz upstream sono state piazzate xz palline di catrame in una porta sul retro.
“All'inizio pensavo che fosse un compromesso per il pacchetto Debian, ma si è rivelato essere un primo passo.”
Uno degli sviluppatori in questione, che si fa chiamare JiaT75, lavora come manutentore del pacchetto da più di due anni. “Considerata l'attività che va avanti da diverse settimane, l'autore del reato o era direttamente coinvolto oppure c'era qualche compromesso estremo nel loro sistema”, ha aggiunto Freund.
“Purtroppo quest’ultima sembra essere la spiegazione meno probabile, visto che in vari elenchi si è parlato delle “riforme” sopra menzionate”. Il suo riferimento era a vari plugin suggeriti dal moderatore sospettoso per risolvere i problemi del codice: Qui, Qui, QuiE Qui. [Thanks to Dan Goodin for these four links.}
SSH or secure shell is an utility used to log in securely to systems, with the majority of Linux systems using a port known as OpenSSH that is maintained by the OpenBSD project, an Unix clone.
The only production Linux system in which the doctored code was distributed appears to have been the Tumbleweed stream put out by the OpenSUSE project. The developers at that project wrote on Friday: “For our openSUSE Tumbleweed users where SSH is exposed to the Internet, we recommend installing fresh, as it’s unknown if the backdoor has been exploited.
“Due to the sophisticated nature of the backdoor an on-system detection of a breach is likely not possible. Also rotation of any credentials that could have been fetched from the system is highly recommended.
“It has been established that the malicious file introduced into Tumbleweed is not present in SUSE Linux Enterprise and/or Leap. Current research indicates that the backdoor is active in the SSH Daemon, allowing malicious actors to access systems where SSH is exposed to the Internet.”
Debian issued patched versions of xz Utils for its testing, experimental and unstable streams of development. Red Hat said on Friday, “Fedora Linux 40 users may have received version 5.6.0, depending on the timing of system updates. Fedora Rawhide users may have received version 5.6.0 or 5.6.1.”
“At this time the Fedora Linux 40 builds have not been shown to be compromised. We believe the malicious code injection did not take effect in these builds. However, Fedora Linux 40 users should still downgrade to a 5.4 build to be safe.”
Later, Red Hat added: “We have determined that Fedora Linux 40 beta does contain two affected versions of xz libraries – xz-libs-5.6.0-1.fc40.x86_64.rpm and xz-libs-5.6.0-2.fc40.x86_64.rpm. At this time, Fedora 40 Linux does not appear to be affected by the actual malware exploit, but we encourage all Fedora 40 Linux beta users to revert to 5.4.x versions.”
It is likely to be quite some time before calm returns; former senior Debian developer Joey Hess provided one reason, noting that the accounts used by the suspected malicious actors had made more than 700 commits [code contributions] Negli ultimi due anni.
“Conto almeno 750 commit o contributi a xz da parte di Jia Tan, che ha eseguito backdoor. Ciò include tutti i 700 commit effettuati dopo che la richiesta pull è stata unita il 7 gennaio 2023, a quel punto sembrano aver già avuto accesso a pagamento, il che avrebbe anche permesso loro di pagare impegni con autori falsi, e probabilmente anche una serie di altri impegni prima di quel momento.
“Ripristinare la backdoor a una versione precedente non è sufficiente per sapere che Jia Tan non ha nascosto altre backdoor al suo interno. La versione 5.4.5 contiene ancora la maggior parte di questi commit.”
Ha aggiunto: “Il pacchetto deve essere ripristinato alla versione precedente [the bad actors’] Condivisione, iniziata con il commit 6468f7e41a8e9c611e4ba8d34e2175c5dacdbeb4. O i loro primi impegni [should be] Questi vengono controllati e restituiti in un secondo momento, ma qualsiasi commissione arbitraria da parte di un noto attore malvagio e dannoso vale sicuramente meno del rischio che l'esatto cambiamento non venga notato.
“Suggerisco di tornare alla versione 5.3.1, tenendo presente che dopo quel punto sono state apportate correzioni di sicurezza… che devono essere riapplicate.”
Sembra che la persona sospettata abbia offerto anche aiuto fuori dalla lista, in quello che potrebbe essere un tentativo di ingraziarsi altri sviluppatori e fugare così ogni dubbio dietro queste offerte qualora dovessero sorgere.
Come previsto, ci sono state lunghe discussioni su questo tema; Notizie settimanali su Linux Ha una corda lunga QuiMentre Notizie sui pirati Aveva più di 2.000 post [when I last looked] Qui.
“Internet savvy. TV fan. Infuriatingly humble analyst. Unapologetic Twitter pioneer. Freelance coffee fanatic.”
