Vlákno názorů k článku
V balíčku xz-utils se objevil backdoor
od Jan Hrach - Postižen je Debian Testing a Unstable a Fedora...
-
Jan HrachStříbrný podporovatelPostižen je Debian Testing a Unstable a Fedora Rawhide a 40.
Zajímavé je, že backdoor kontroluje, že probíhá sestavení DEB/RPM balíčku, a pokud ne (lokální build, případně jiné distribuce), tak infekci neprovede.
Při startu sshd se nahraje libsystemd, tranzitivně backdoornuté liblzma, a to při nahrávání přepíše funkci RSA_public_decrypt.
Kód backdooru není dostatečně zanalyzován (je obfuskován) abychom mohli říct, jestli se neprovádí i v jiném kontextu než v sshd.
Zajímavé je jak se na to přišlo. Backdoor se aktivoval při každém forknutí sshd (jestli to chápu správně), a byl špatně naprogramovaný, takže při tom vytížil procesor. Takže při standardním nájezdu slovníkových automatů sshd hodně vytěžovalo procesor, oznamovatel začal profilovat a zjistil, že to vytížení je v knihovně liblzma v místě které vypadá podezřele.
Další problém byl, že ten způsob přepisování funkce sshd způsoboval chyby automatických testů pomocí Valgrindu a ASanu.
-
I rolling release distra, ale tam stačí jen nadále rollovat dopředu.
https://archlinux.org/news/the-xz-package-has-been-backdoored/
-
Jan HrachStříbrný podporovatel
Jako ano a ne. V Archu jednak ten skript, co knihovnu infikuje, skončil, protože nedetekoval, že se buildí deb/rpm balíček, jednak nemají openssh s podporou systemd, takže se liblzma nenahrává za běhu.
-
Jan HrachStříbrný podporovatel
Tady je porovnání těch dvou balíčků - jsou stejné. https://www.openwall.com/lists/oss-security/2024/03/29/20
29. 3. 2024, 23:55 editováno autorem komentáře
-
U Fedory sa to jedná o beta verziu. 40-tka má byť vydaná až o pár týždňov, konkrétne early target je 16.04.2024, a target #1 23.04.2024. I tak ale súhlasím že by sa to nemalo dostať ani do Beta, a už keď, tak určite by mali stiahnuť ISO. U Fedory sa ale beta stále distribuuje. Si pamätám ako u Ubuntu čo bol len Ukrajinský preklad, tak to hneď ISO stiahli. Čakal by som že Fedora urobí to isté.
Také tie edge distrá, tam je to jasné (a s tým sa aj počíta, pretože sú edge, práve na testovanie takýchto vecí), trebárs na Arch by som nahnevaný nebol. Ale u Fedori to vnímam dosť ako poprask, že to neriešia. Predsa len je jedna z dvoch najhlavnejších distier, a beta verzia by už takto kritické problémy nemala obsahovať.
-
Sice chapu ze zadne distro nema tolik lidi aby mohlo pokazde nove verzi sjet cely obsah, muzou leda tak zkontrolovat hashe ale to vyzaduje mit duveryhodneho tvurce/autora toho programu, ktery to udela tak aby to bylo overitelne. Pokud to overit nejde, distro by to melo jistit ale to se zda nestalo. Dalsi dukaz ze to ze je neco opensource neznamena ze to nekdo pred publikovanim verejnosti, nejaka duveryhodna entita hlida a ostatni ji muzou tupe verit.
-
[tele ceka na schvaleni roky]
Rekl bych, ze to nikdo ani netvrdi.Pokud vim, tak zrovna skuseni stari Linuxari casto vybizeji k tomu, aby si lide programi overovali a nicemu neverili. Pamatuji si, ze kdyz vysel "snake" v Bashi, vsichni jsme to nadsene stahovali a zkouseli. Hned jsme dostali zdrbano, jestli se nekdo z nas aspon podival na na ten skript.
U opensource mate moznost si zdrojak prohlednout a osobne se v tomto pripade spis dost divim, ze si nikdo nevsiml, ze se do ofiko vyvoje dostal obfluskovany kod - ktery je vzdycky podezrely. Skoro to vypada, ze tvurci dister bud trochu usinaji na vavrinech, a nebo jim rapidne ubiva sil...
30. 3. 2024, 18:21 editováno autorem komentáře
-
Ono tady bylo zákeřné že ten kód byl v testovací sadě – prostě jeden z těch tarballů které to v rámci testů má rozbalit obsahoval payload, a "stačilo" už jen do testu propašovat jeho spuštění (
| bash). Hádám že tyhle balíčky dat nikdo pořádně neaudituje, jestli např. v testech ffmpeg není v jednom videu steganograficky ukrytý malware.
