В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор

Ожидаемо — хорошую вещь XZ бы не назвали.

круто

Особенность инцидента состоит в том, что вредоносный код содержится только в распространяемых tar-архивах с исходным кодом и не присутствует в git-репозитории проекта.

Сообщается, что человек, от чьего имени вредоносный код был добавлен в репозиторий проекта

Не распарсил

Бинарник, замаскированный под архив, в репозитории, а «триггер» — только в релизных тарболлах. По крайней мере я так понял анонс.

Прошу прощения за неточность формулировок, торопился.

Это указывает на то что либо процесс формирования релизных тарболов похачили, либо кто-то причастный к этому процессу в деле. Т.е. речь не о рандомном комите от рандомного чела

Это указывает на то что либо процесс формирования релизных тарболов похачили, либо кто-то причастный к этому процессу в деле

Ровно об этом и написано в тексте новости.

Подробнее, courtesy of LWN:

The exploit is in two parts. Two «test files» which contain the payload; and a modified m4 script (m4/build-to-host.m4) which initiates the process of loading the payload. The test files were added first and are part of git. They don’t do anything on their own. The m4 modification was only made in the github tarball, somewhat later, and it’s not checked into git. (It was a surprise to me that github release tarballs aren’t just tarred up copies of the git checkout.)

Having said all that, I wouldn’t rely on any version of xz which «Jia Tan» (a pseudonym, I assume) has touched, and unfortunately he’s been contributing to xz and been an upstream committer for 2+ years.

(ref: https://lwn.net/Articles/967205/)

xz (XZ Utils) 5.2.2 liblzma 5.2.2

Могу выдохнуть? Не 5.6.x же

даже в моей бубунте 5.2, а дебиан это вообще не про свежесть версий

Проблема сраного гитхаба в том, что в репе может быть хоть чёрт лысый, а архивы всё равно не билдятся автоматически, их надо руками заливать и там хоть троянский слон может быть.

Охренеть можно. Интересно, сколько челу заплатили.

$ xz --version
xz (XZ Utils) 5.4.1
liblzma 5.4.1

Слава Дебиану!

Слава, ты похачен.

Китайские товарищи настоятельно попросили.

лол решето!!

Впервые в жизни радуюсь что забыл обновиться :DDD

лол решето!!

"– У нас в системе безопасности дыра!

– У нас что-то есть в системе безопасности?"

Дверь мне запили запакуй!

Проблема сраного гитхаба в том, что в репе может быть хоть чёрт лысый, а архивы всё равно не билдятся автоматически, их надо руками заливать и там хоть троянский слон может быть.

Вообще нет, чаще всего архивы там делаются гитом автоматически. Если качаешь https://github.com/lol/project/archive/<коммит, тег или ветка>.tar.gz, то это будет именно код из git. У xz какого-то хрена архивы формировались скриптом то ли в CI, то ли вообще руками.

У этого механизма есть минус: они в автоматически генерируемые архивы не кладут сабмодули, а стоило бы. :)

That line is not in the upstream source of build-to-host, nor is build-to-host used by xz in git. However, it is present in the tarballs released upstream, except for the «source code» links, which I think github generates directly from the repository contents

Как такое вообще могло случиться? Эти архивы же пакуются автоматом, из кода, который там в git. Уж не диверсия ли это со стороны M$?

У этого механизма есть минус: они в автоматически генерируемые архивы не кладут сабмодули, а стоило бы. :)

Сабмодули в гите – это сплошной позор. В том числе и из-за этого.

Нет, это релизные тарболлы которые собирает для вас мейнтейнер. Причём с выполненным autoreconf, который генерирует configure скрипт. Это не единственный такой проект у которого релизный тарболл отличается того, что внутри git репозитория.

Впрочем, никто не запрещает вручную забирать с тега и вызывать autoreconf самостоятельно. Я надеюсь, что мейнтейнеры дистрибутивов так и будут впредь делать. В Arch Linux, например, уже есть соответствующее изменение в PKGBUILD.

конечном итоге целью бэкдора, по-видимому, является инъекция кода в процесс sshd и подмена кода проверки RSA-ключей

(Как хорошо, что у меня нет sshd.) А целевой sshd тоже ведь должен быть конкретной версии, собранный в конкретную фазу луны под конкретный дистр.

That line isnotin the upstream source of build-to-host, nor is build-to-host used by xz in git. However, it is present in the tarballs released upstream, except for the «source code» links, which I think github generates directly from the repository contents

Как такое вообще могло случиться? Эти архивы же пакуются автоматом, из кода, который там в git. Уж не диверсия ли это со стороны M$?

Нет, там какой-то китаец два года коммитил в xz. В том числе и вот это.

Так что всем в идеале стоит откатиться на версию до появления этого китайца – 5.3.3.

я так понимаю бекдор только запускается при билде? В самом xz бэкдора нету?

Соглашусь. :(

Чувак говорит, что нашел бэкдор из-за тормозов ssh. Столько времени потратили на обфускацию и внедрение, а потом так тупо спалиться.

Arch does not directly link openssh to liblzma, and thus this attack vector is not possible. You can confirm this by issuing the following command:

ldd «$(command -v sshd)»

Охохо, эхехе, ихихи.

У нас в раче как обычно всё через жопу, даже бекдор нормально не работает.

// Арчевод

У нас в раче как обычно всё через жопу, даже бекдор нормально не работает.

Народ! Как пропатчить бэкдор под FreeBSD?!

можно выдыхать? а то версия 5.6.1 арч.

Я так полагаю обычному домашнему компу это как неуловимый Джо?

Звучит как проблема шитхаба, а не сабмодулей, не?

В апстриме арча пофикшено:

• https://security.archlinux.org/package/xz

• https://security.archlinux.org/ASA-202403-1

Убедиться:

pacman -Syu "xz>=5.6.1-2"

Звучит как проблема шитхаба, а не сабмодулей, не?

Не уверен. Там скорее всего тупо git archive под капотом дёргается.

sshd не зависит непосредственно от liblzma. А, вот, systemd - да. И благодаря нему и осуществляется атака.

А, вот, systemd - да

В таком случае – как хорошо, что у меня artix без systemd. :)

В sid успел попасть. Сейчас уже откатили.

m4-скриптов

ААААААААААААА! Оно живое!!!!!

Как я счастлив, что забыл, как конфигурировать sendmail...

Это какой-то… …позор. А самое печальное, что у меня этот пакет успел обновиться недавно до проблемной версии на одной из личных тачек. Придётся теперь ОС переустанавливать, так как я параноик, лучше перебдеть, чем недобдеть и т.п.

Нет, там какой-то китаец два года коммитил в xz. В том числе и вот это.

И не только кто-то под тем аккаунтом, который может переводиться как Джон Смит или типа того, а и ещё под другим, который, к тому же, протолкнул «улучшенную» версию побыстрее в Дебиан, а то слишком много людей всполошилось из-за ругающегося valgrind (я это тоже заметил, ещё удивился, как это в lzma проглядели). Но, как оказалось, было уже поздно, так как кто-то заинтересовался этим вопросом вплотную.

А вот проверку fuzz’ером удалось отключить заблаговременно: https://github.com/google/oss-fuzz/pull/10667 (07.07.2023).

К сожалению, оно и в тестинг успело попасть, и вот уже 3 недели как:

[2024-03-05] xz-utils 5.6.0-0.2 MIGRATED to testing (Debian testing watch)

ААААААААААААА! Оно живое!!!!!

Там внутри обычная дидово-какерская Shell/Bash-дрисня которая замаскировала бэкдор: Бэкдор в xz/liblzma (комментарий)

Основная проблема именно в ней, во всём этом нагромождении какерских костыльков UNIX-like мирка: m4, shell/bash, make, sed, awk и пр.

C

Думаю, это всё из-за GNU башизмов. С ash или zsh не прокатило бы!

$ # xz --version
xz (XZ Utils) 5.4.4
liblzma 5.4.4

Как говорится, «Баг миловал!..» ©

там тормоза 500мс при логоне, большинство и не заметит

Основная проблема именно в ней, во всём этом нагромождении какерских костыльков UNIX-like мирка: m4, shell/bash, make, sed, awk и пр.

Причём это ещё и ~17 лет назад, когда я впервые познакомился с лялепсом, это казалось устаревшей ерундой.

пруфец про валгринд https://news.ycombinator.com/item?id=39866275

Ядерный звиздец. Как хорошо, что я не обновляюсь.

Ага, там я это и прочёл.

А ещё тут: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1067708.

В апстриме арча пофикшено

А вот и не пофикшено, так как фиксить было нечего. Результат дизассемблирования «пофикшенной» библиотеки на 100% совпадает с «непофикшенным». А все потому, что бекдор активируется только при сборке RPM или DEB (проверка переменных окружения и существования файла debian/rules).