Kaip Debianas galėjo apeiti XZ užpakalines duris? Trumpa bylos analizė 

galinės durys XZ

galinės durys XZ

Ankstesnėmis dienomis čia, tinklaraštyje, pasidalinome naujienomis apie atvejį užpakalinės durys, kurios buvo aptiktos XZ programoje, kuris naudojamas daugelyje „Linux“ platinimų ir todėl turi įtakos visiems. Daugeliui, įskaitant mane, šis atvejis įdomus yra tai, kaip buvo parengta užpakalinių durų įtraukimas ir kaip buvo parengta lytis, arba buvo sudarytos aplinkybės, palankios kodekso įvedimui, ir tai buvo nepastebėta.

Į Evano Boehso tinklaraščio įrašas (programuotojas ir įsilaužėlis), pasidalijo nedidele chronologine užpakalinių durų atvejo analize XZ. Leidinyje tai minima Kūrėjas Jia Tan buvo atsakingas už galinių durų pristatymą XZ pakete, nes Jia Tan 2022 m. gavo prižiūrėtojo statusą ir pradėjo leisti versijas nuo XZ projekto 5.4.2 p. Be darbo XZ, Jia Tan Jis taip pat prisidėjo prie xz-java ir xz įterptųjų paketų, ir buvo pripažintas XZ Embedded projekto, naudojamo Linux branduolyje, prižiūrėtoju.

Be Jia Tan, dalyvauja dar du vartotojai, Jigar Kumar ir Hans Jansen, kurių daugelis mano, kad matyt, tai gali būti virtualūs personažai. Dalyvavo Jigaras Kumaras reklamuodamas Jia Tan pirmuosius pataisymus XZ spaudžiant tuometinį prižiūrėtoją Lasse Colliną 2022 m. balandžio mėn. priimti naudingus pakeitimus ir įdiegti eilučių filtrų palaikymą.

2022 m. birželį Lasse Collin atsisakė prižiūrėtojo vaidmens Jia Tan, pripažindamas perdegimą ir psichinės sveikatos problemas. Po šių įvykių Jigar Kumar nebepasirodė projekto adresų sąraše.

Su nauju statusu prižiūrėtojas, Jia Tan pradėjo aktyviai keisti XZ projektą ir pagal statistiką užėmė antrąją vietą tarp kūrėjų pagal pakeitimų skaičių per dvejus metus.

2023 m. kovo mėn. Lasse Collin pakeitė asmenį, atsakingą už XZ paketo testavimą oss-fuzz tarnyboje, Jia Tan, birželio mėn. buvo įgyvendinti XZ sudėties pakeitimai, įskaitant palaikymą IFUNC mechanizmui liblzma, kuris vėliau buvo naudojamas funkcijų perėmimui organizuoti užpakalinėse duryse. Šį pakeitimą pasiūlė Hansas Jansenas, kurio paskyra buvo sukurta prieš pat pateikiant su šiais pakeitimais susijusį ištraukimo užklausą.

En 2023 m. liepos mėn. Jia Tan paprašė oss-fuzz kūrėjų išjungti ifunc tikrinimą dėl nesuderinamumo su «-fsanitize=address" 2024 m. vasario mėn. buvo pakeista nuoroda į XZ projekto svetainę oss-fuzz ir tukaani.org, pereinant iš pagrindinio domeno į padomenį. Šis paskutinis padomenis buvo priglobtas „GitHub“ puslapiuose ir jį asmeniškai valdė Jia Tan.

Vasario 23 d. failai, skirti išbandyti dekoderį, įskaitant failus su užpakalinėmis durimis, buvo paskelbti, tačiau jie pasirodė .gitignore faile.

Kovo 17 d., Hansas Jansenas, anksčiau dalyvavo pataisymuose su IFUNC palaikymu, užsiregistravo kaip Debian projekto bendradarbis. Kovo 25 d, gavo prašymą atnaujinti paketo xz-utils versiją saugykloje iš Debian. Verta paminėti, kad panašių užklausų atėjo iš Fedora ir Ubuntu kūrėjų (nors Ubuntu pakeitimas buvo atmestas dėl saugyklos įšaldymo).

Keli vartotojai prisijungė prie XZ atnaujinimo užklausų, teigdamas, kad naujoji versija ištaisė klaidas, aptiktas derinant valgrinde. Šios problemos kilo dėl neteisingo kamino išdėstymo nustatymo galinių durų valdiklyje, bandant jas išspręsti XZ 5.6.1 leidime.

Apie tai, Lasse Collin paskelbė pareiškimą patvirtindamas, kad failus su užpakalinių durų versijomis sukūrė ir pasirašė Jia Tan. Be to, jis paskelbė apie xz.tukaani.org subdomeno pašalinimą, nurodydamas, kad xz svetainė grįš į pagrindinį tukaani.org serverį. Jis taip pat paminėjo, kad jo „GitHub“ paskyra buvo užblokuota. Svarbu tai pabrėžti Lasse Collin valdo tik tukaani.org svetainę ir git.tukaani.org saugyklos. Kita vertus, Jia Tan valdė projektą tik GitHub ir xz.tukaani.org priegloboje, bet neturėjo prieigos prie tukaani.org serverio.

Jei norite sužinoti daugiau apie tai, galite sužinoti daugiau informacijos adresu šią nuorodą.


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Už duomenis atsakingas: AB Internet Networks 2008 SL
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.