XZ autorius paskelbė naujas korekcines versijas ir ataskaitą apie užpakalinių durų atvejį

XZ Linux Utility

Prieš kiek daugiau nei 2 mėnesius, Tinklaraštyje dalijamės pastaba apie užpakalines duris XZ programoje, Tame pačiame įraše taip pat pasidalinau savo nuomone, kurioje minėjau ir tebeminėsiu, kad ši byla bus kažkas, apie ką bus kalbama dar ilgai, nes „Tai vienas geriausių taikomosios socialinės inžinerijos pavyzdžių.

taip pat Tuo metu pasidalinome keliais papildomais įrašais, kur buvo surašyti įvairūs veiksmai, kurie buvo atlikti byloje, taip pat kaip situacija buvo įmanoma ir liks nepastebėtas ilgą laiką.

galinės durys XZ
Susijęs straipsnis:
Kaip Debianas galėjo apeiti XZ užpakalines duris? Trumpa bylos analizė 

O dabar Projekto xz autorius ir pirminis prižiūrėtojas Lasse Collin paskelbė apie naujų korekcinių versijų paskelbimą iš XZ Utils 5.2.13, 5.4.7 ir 5.6.2. Šios versijos pašalina komponentų užpakalines duris ir kitus įtartinus pakeitimus, kuriuos anksčiau priėmė Jia Tan.

Kartu su taisomųjų versijų paskelbimu, Lasse Collin taip pat pasidalino apžvalgos ataskaita apie Git saugyklą, įskaitant atliktus pakeitimus nuo 2022 m. gruodžio mėn., tuo metu Jia Tan buvo projekto prižiūrėtoja. Ataskaitoje išsamiai aprašomi pakeitimai, kurie buvo išanalizuoti individualių įsipareigojimų lygmeniu, ir minima, kad nors įsipareigojimai saugykloje nebuvo pasirašyti skaitmeniniu būdu, nebuvo rasta jokių įsipareigojimų vykdytojų manipuliavimo požymių. Iš viso iš saugyklos buvo pašalinti aštuoni kenkėjiški įsipareigojimai.

Y nors buvo įtarti tam tikrų pokyčių kenkėjiškų pakeitimų įvedimo nuo 2023 m., tačiau galime pastebėti, kad ataskaitoje tai išsamiai aprašyta Pirmieji pakeitimai, įgyvendinti įvedant galines duris, datuojami 2024 m. kur Jia Tan jau turėjo daugiau veiklos, susijusios su galinių durų įvedimu XZ.

Šiuos suglaudintus failus sukūrė ir pasirašė Jia Tan. Jie buvo peržiūrėti ir juose nėra kenksmingo turinio.

PASTABA
Git saugykloje esančias žymas v5.2.11 ir v5.4.2 pasirašė Jia Tan, bet tar failus sukūriau ir pasirašiau aš.
Išskyrus šias išimtis, failai Git saugykloje atitinka tar failus:

.po failai atnaujinami kaip make mydist (arba make dist) dalis

ChangeLog yra failas, sugeneruotas tar archyvuose.

Kiekviena versija yra daugiau nei vienu suspaudimo formatu. .tar dekompresija yra vienoda visiems kiekvienos versijos glaudinimo formatams.

Failų sąrašai zip failuose yra geri. Pavyzdžiui, tas pats failas pasirodo tik vieną kartą.

PDF failus sunku atkurti, nes juose yra laiko žyma ir jie taip pat priklauso nuo naudojamų įrankių versijos. Tačiau PDF failai atrodo normaliai, o jų failų dydis taip pat yra normalus (jie skiriasi tik keliais baitais).

Pranešime taip pat minima, kad CRC kodas CLMUL, kuris tikrinant su MSAN generuoja klaidingus teigiamus rezultatus (atminties dezinfekavimo priemonė) ir problemų su OSS Fuzz, ji dar nebuvo pašalinta iš kodų bazės. Nors ateityje šį kodą planuojama perdirbti, kol kas nuspręsta jo neliesti, kad būtų išvengta regresijų senose šakose. Senuose įsipareigojimuose, kurie buvo pridėti prieš pakeitimus, susijusius su užpakalinėmis durimis, įtartinų pakeitimų nenustatyta. Be to, po failų vieta, metaduomenys tar failuose ir failai su versijomis ir vertimais buvo patikrinti atskirai.

Be to, taip pat minimi pakeitimai, apimantys pavėluotų klaidų pataisų įtraukimą ir IFUNC mechanizmo palaikymo panaikinimą numatyta Glibc netiesioginiams funkcijų iškvietimams, kurie buvo naudojami užpakalinių durų funkcijų perėmimui organizuoti. Svarbu pažymėti, kad IFUNC naudojimas tik apsunkina kodą, o našumo padidėjimas yra nereikšmingas. Atsargumo sumetimais iš šaltinio paketo taip pat buvo pašalintas XZ logotipas, man puslapių PDF versijos ir du x86 ir SPARC architektūros testai, kurie apdorojo objektų failus kaip įvestį.

Apie patobulinimai, kurie buvo įgyvendinti, randama, pavyzdžiuiarba xzdec dekoderyje pridėtas izoliavimo mechanizmo 4 versijos ABI palaikymas „Landlock“ programų. Be to, „–enable-doxygen“ parinktis buvo pridėta prie „Autotools“ kūrimo scenarijų, o parametras ENABLE_DOXYGEN buvo pridėtas prie „Cmake“ scenarijaus, kad būtų galima generuoti ir įdiegti „liblzma“ API dokumentaciją naudojant „Doxygen“. Anksčiau sukurta dokumentacija taip pat buvo pašalinta iš paketo, siekiant sumažinti dydį ir sudėtingumą.

pagaliau jei esi nori sužinoti daugiau apie tai, Išsamią leidinio informaciją galite patikrinti sekanti nuoroda.


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Už duomenis atsakingas: AB Internet Networks 2008 SL
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.