V nejnovějších verzích balíčku xz-utils číslo 5.6.0 a 5.6 1 byl objeven backdoor pro SSH. Jde naštěstí o velmi čerstvé verze, takže většina linuxových systémů není postižena. Část kódu je kamuflovaná jako testovací data, o jeho vlastní použití se pak stará část skriptu configure uvnitř tarballů vydaných verzí.
Backdoor nějakým ne zcela jasným způsobem ovlivňuje činnost démona sshd, což je možné pozorovat zpomalením jeho reakcí. Démon sshd přitom jako takový na knihovně liblzma z balíčku xz-utils nezávisí. Knihovna je do něj zavlečena distribučním patchem, který do démona SSH přidává podporu pro systemd-notify. Teprve knihovna libsystemd s sebou zavleče liblzma jako závislost.
Ačkoli commity nejsou digitálně podepsané, zdá se, že backdoor byl přidán přímo přispěvatelem projektu Jia Tan, který je také zodpovědný za všechna vydání balíčku xz-utils. Dá se tedy předpokládat, že celý balíček projde důkladnou revizí.
ČLÁNKY DO MAILU