Kako je bilo moguće da Debian zaobiđe backdoor u XZ-u? Kratka analiza slučaja 

backdoor XZ

backdoor XZ

Prethodnih dana smo ovdje na blogu dijelili vijest o slučaju backdoor koji je otkriven u uslužnom programu XZ, koji se koristi u velikom broju Linux distribucija i stoga utječe na sve njih. Interesantna stvar u vezi sa ovim slučajem za mnoge, uključujući i mene, jeste kako je uključivanje bekdora i kako je rod pripremljen, ili su okolnosti date u prilog uvođenju kodeksa, a to je zanemareno.

u blog post Evana Boehsa (programer i haker), podijelio je malu kronološku analizu backdoor slučaja u XZ. U publikaciji se to pominje Programer Jia Tan bio je odgovoran za uvođenje backdoor-a u XZ paketu, od Jia Tan dobio status održavaoca 2022. godine i počeo s izdavanjem verzija od 5.4.2 projekta XZ. Pored rada na XZ-u, Jia Tan Takođe je doprineo xz-java i xz-embedded paketima, i prepoznat je kao održavatelj XZ Embedded projekta koji se koristi u Linux kernelu.

Pored Jia Tan, učešće još dva korisnika, Jigar Kumar i Hans Jansen, za koje mnogi pretpostavljaju očigledno bi mogli biti virtuelni likovi. Jigar Kumar je bio umiješan u promociji Jia Tanovih prvih zakrpa na XZ vrši pritisak na tadašnjeg održavaoca Lassea Collina prihvatiti korisne promjene i implementirati podršku za string filtere u aprilu 2022.

U junu 2022. Lasse Collin se odrekao uloge održavatelja Jia Tan, priznajući izgaranje i probleme mentalnog zdravlja. Nakon ovih događaja, Jigar Kumar se više nije pojavljivao na mailing listi projekta.

Sa novim statusom održavatelja, Jia Tan je počeo aktivno unositi promjene u XZ projekt i, prema statistici, bio je na drugom mjestu među programerima po broju izmjena za dvije godine.

U martu 2023., Lasse Collin je zamijenio osobu odgovornu za testiranje XZ paketa u oss-fuzz servisu sa Jia Tan, au junu su implementirane promjene u sastavu XZ, uključujući podršku za IFUNC mehanizam u liblzmi, koji je tada korišten za organiziranje presretanja funkcija u backdoor-u. Prijedlog za ovu promjenu došao je od Hansa Jansena, čiji je račun kreiran neposredno prije podnošenja zahtjeva za povlačenje u vezi sa ovim promjenama.

En Jula 2023, Jia Tan je zamolio oss-fuzz programere da onemoguće ifunc provjeru zbog svoje nekompatibilnosti sa «-fsanitize=address". U februaru 2024. promijenjena je veza do web stranice projekta XZ na oss-fuzz i tukaani.org, prelazeći sa glavnog domena na poddomen. Ovaj posljednji poddomen je bio hostovan na GitHub stranicama i lično ga je kontrolirao Jia Tan.

Dana 23. februara, fajlovi za testiranje dekodera, uključujući fajlove sa backdoor-om, objavljeni su na, ali su se pojavili u datoteci .gitignore.

Dana 17. marta, Hans Jansen, prethodno uključeni u zakrpe uz IFUNC podršku, registriran kao suradnik Debian projekta. 25. marta, primio je zahtjev za ažuriranje verzije xz-utils paketa u spremištu iz Debiana. Vrijedi napomenuti da su slični zahtjevi stizali od Fedora i Ubuntu programera (iako je u Ubuntu-u promjena odbijena zbog zamrzavanja spremišta).

Nekoliko korisnika se pridružilo zahtjevima za ažuriranje XZ, tvrdeći da je nova verzija ispravila greške otkrivene tokom otklanjanja grešaka u valgrind-u. Ovi problemi su nastali zbog netačnog određivanja rasporeda steka u backdoor kontroleru, pokušavajući ih riješiti u izdanju XZ 5.6.1.

O ovom, Lasse Collin je izdao saopštenje potvrđujući da je fajlove koji sadrže backdoor verzije kreirao i potpisao Jia Tan. Osim toga, najavio je uklanjanje poddomena xz.tukaani.org, ukazujući da će se stranica xz vratiti na glavni server tukaani.org. Takođe je spomenuo da je njegov GitHub nalog blokiran. Važno je to naglasiti Lasse Collin ima kontrolu samo nad web stranicom tukaani.org i git.tukaani.org spremišta. S druge strane, Jia Tan je samo kontrolisao projekat na GitHubu i hostu xz.tukaani.org, ali nije imao pristup tukaani.org serveru.

Ako ste zainteresovani da saznate više o tome, možete pogledati detalje na sljedeći link.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.