В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор

xz и внедрил бэкдор везде.

Не внедрил, а попытался внедрить. В стабильные релизы уязвимость не вошла.

Намного быстрее. Даже 3D рендер через трассировку лучей на нём сделали для прикола: https://github.com/annacrombie/meson-raytracer.

Стоит отметить что скрипт сборки Mesin исполняется только в процессе конфигурирования, за собственно процесс сборки отвечает Ninja.

Голый Makefile, CMake, Meson, GN, SCons, Xmake, Jam. Да куча альтернатив этим убогим дырявым Autotools.

Конкретно Muon использует не Ninja, а Samurai, я его где-то год назад тестировал на своём проекте, в моём случае он отрабатывал медленнее чем Ninja.

человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему

Почему не указано имя героя?

Можно пользоваться чем больше нравиться: и Ninja, и Samurai. Samurai скорее для минимизации зависимостей.

Да, у меня статика

Так а как организовывается бекдорирование?

same sh*t

Пат уже отписался

Seems like a good idea to build this from a git pull rather than the signed
release tarballs. :-)
The liblzma in the previous packages were not found to be vulnerable by the
detection script, but I'd rather not carry the bad m4 files in our sources.
Here's a test script for anyone wanting to try it:

       if hexdump -ve '1/1 "%.2x"' /lib*/liblzma.so.5 | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410 ; then
       echo probably vulnerable
       else
       echo probably not vulnerable
       fi

Что интересно то атака по сути на тот же ssh. Буквально неделю назад писали что если в гугле набрать слово putty то вылазил какой то левый сайт и давал качать подменный клиент. Я понимаю что это в основном касается виндузятников, но лезут то они скорее всего к linux системам.

P.S. В переписовываемом core-utils (на Rust) есть back-doors ?

Основная проблема именно в ней, во всём этом нагромождении какерских костыльков

Просто неуловимый Джо перестал надёжно охранять наш уютный динукс: нас ждут интересные, яркие годы, а то и десятилетия

Однако, общая практика дебиана «сначала как следует тестить, потом релизить» сработала и в данном случае, следует отметить

Кто там рассказывал про «тысячи глаз» которые читают исходники опенсорса?

А разве сабж - не оно?

На серверах Линукс уже давно мейнстрим, а не неуловимый Джо. Линукс уже вытеснил Windows Server, *BSD, и проприетарные UNIX с серверного рынка.

Потому что он одновременно и «Цзя Тань», и «Джигар Кумар», и даже «Ганс Янсен».

Нифига не нашли. А случайно наткнулись.

Во-первых, как я понял, чел специально искал, а, во-вторых, даже если бы и случайно, че не так-то? Как раз тысячи глаз и узрел и теперь подрежут злыдням крылья

Здесь пишут, что rce. https://www.openwall.com/lists/oss-security/2024/03/30/36. Что именно в бинаре непонятно. Интересно, кто готов был потратить несколько лет на подготовку. В генту на вчера для ~amd64 была 5.6.1, потом откатили.

Про бинари вроде речь то и не идёт

Однако, общая практика дебиана «сначала как следует тестить, потом релизить» сработала и в данном случае, следует отметить

А в каком дистре оно сработало ? Всякие ролинги это по сути та-же тестовая площадка …

Один из вариантов происхождения : Зачем они опубликовали собственные наработки ? Что хотели ЭТИМ показать ?

На LWN какой-то чувак пишет: «Thank you for your work! I donated $1000 to Debian for your work. Let’s all do something nice for Debian, please?»

Где логика? Или это демьяновцы запустили васю с шапкой попробовать монет подсобрать, раз уж какой-никакой повод?

Возможно, логика в том, что бекдор стало возможно встроить потому, что мейнтейнер был выгоревший и недомотивированный?

Вот здесь логика.

Ну не донатить же Майкрософту.

Ух он мотивируется, если все начнут интенсивно засылать бабло НЕ ЕМУ.

Должны же быть способы заслать человеку напрямую. Впрочем, я не в теме, может у них за такое налоговая не просто потребует долю, а тупо сожрет.

Знаете, я и сам своего рода мейнтейнер.jpeg

Похоже на то, что ни автор xz Лассе Коллин, ни Андрес Фрейнд пожертвования не собирают. По крайней мере, мне не удалось нагуглить никакие реквизиты.

Автор 7-Zip Игорь Павлов не причастен к проекту XZ?

Нет, с чего бы?

Ну прикинь: ты пару лет тратишь не то чтобы много времени чтобы сделать вид что тебе можно доверять, а потом получаешь ЖЫР в виде zeroday который обеспечит тебя до конца жизни. При этом финансовых затрат нет, доступ в пентагон не нужен, нужно просто в свое удольствие архиватор пилить.

Учитывая на сколько чисто и красиво было сработано в данном случае и на всех этапах никто ничего не заподозрил, а уязвимость нашли чисто случайно, думаю много, очень много. Не удивлюсь если сейчас кто-то свои звездочки на погоны получил.

Не внедрил, а попытался внедрить. В стабильные релизы уязвимость не вошла.

В стабильные релизы чего? Там чувак поправил гугловый репозиторий, поправив url’ы откуда качать xz, а также уязвимый код уже нашли в сборках 11й винды. Мы сейчас точно не знаем куда это вошло.

Любой бы встроил. Злоумышленник давил на авторов xz c нескольких аккаунтов, что надо патчи принять, так как они решают какие-то проблемы. Службу безопасности к каждому OSS не приставишь.

В стабильные релизы чего?

Как минимум дистрибутивов основаных на Debian. Система безопаности OpenSource сообщества сработала. Мощная атака, проломила несколько колец обороны, но до рубежа stable не дошла.

Злоумышленник давил на авторов xz c нескольких аккаунтов, что надо патчи принять,

Отлично. Прецедент создан, изучен. Теперь участники сообщества в курсе такого приема проведения атаки.

Службу безопасности к каждому OSS не приставишь.

Да не приставишь. И дальше будут взломы, атаки, бекдоры которые будут постепенно вычисляться и у сообщества будет появляться иммунитет.

случайно наткнулись

Специально никто и не ищет. Вся идеи именно в том, чтобы случайно натыкаться.

По всей строгости законов РФ.

Беларуси.

/fixed.

Жене сейчас показал это позорище. Её реакция – «Шикарно, типичный опенсурс 😆»

На серверах Линукс уже давно мейнстрим, а не неуловимый Джо

Согласен. Я же не говорю что это случилось прям вот сейчас: сейчас стали проявляться последствия

ради интереса потыкал (из европы), сервера, внутренний впн (в европе), ssh $HOST exit:

• европа: 0.01s user 0.00s system 0% cpu 1.641 total
• америка: 0.01s user 0.00s system 0% cpu 2.745 total
• гонконг: 0.01s user 0.00s system 0% cpu 3.988 total

числа +- стабильные

Красиво, да. Но тут пришли большие числа, из тысячи глаз нашлась пара, заинтересовавшаяся тормозами sshd и выхлопом valgrind’а. По итогу дальше тестового репозитория не ушло. В результате, пара лет движа в топку, за такое обычно дают не звездочки, а в табло.

Намного быстрее. Даже 3D рендер через трассировку лучей на нём сделали для прикола: https://github.com/annacrombie/meson-raytracer.

Почти в 84 раза быстрее. Молодцы.

Стоит отметить что скрипт сборки Mesin исполняется только в процессе конфигурирования,

Ну да. То же верно и для autotools, и для cmake.

В генту на вчера для ~amd64 была 5.6.1, потом откатили.

Дата маскирования в /usr/portage/profiles/package.mask указана 28-го марта:

# Sam James <sam@gentoo.org> (2024-03-28)
# Backdoor discovered in release tarballs. DOWNGRADE NOW.
# https://www.openwall.com/lists/oss-security/2024/03/29/4
# https://bugs.gentoo.org/928134
>=app-arch/xz-utils-5.6.0

Я апдейтился вечером 29-го, и пришло это.

В посте указана сцылка на гит, в коммите имя героя

У меня в кроне sync, увидел только вчера. Вчера же прочитал новости. На выходных.

m4-скриптов

ААААААААААААА! Оно живое!!!!!

Ты не знал, что оно вовсю ширь в autotools? :-)

Я знал, что autotools редкая шиза, которую старательно выпиливают.

Еб***й стыд… Кто там рассказывал про «тысячи глаз» которые читают исходники опенсорса?

Так прочитали же.

Я знал, что autotools редкая шиза, которую старательно выпиливают.

Меняя на постоянно ломающийся с обновлением cmake. Ага, знаю-знаю.

Вот вам техническая информация по поводу. ALT не задело.

Если про версии правда, то даже в Сизифе пока 5.4.5. А, судя по https://git.altlinux.org/gears/x/xz.git?p=xz.git;a=summary, альтовый гит мержится с апстримным git. Если как тут написали про «только тарбол», то «торпеды бы мимо прошли» в данном конкретном случае и с новой версией.