XZ autors publicēja jaunas koriģējošas versijas un ziņojumu par backdoor lietu

XZ Linux utilīta

Pirms nedaudz vairāk kā 2 mēnešiem, mēs šeit, emuārā, kopīgojam XZ utilīta aizmugurējās durvis, Tajā pašā ierakstā es arī dalījos ar savu viedokli, kurā minēju un pieminēšu, ka šī lieta būs lieta, par kuru runās vēl ilgi, jo "Tas ir viens no labākajiem lietišķās sociālās inženierijas piemēriem."

arī Toreiz mēs kopīgojām dažas papildu ziņas, kur tika apkopotas dažādas darbības, kas tika veiktas lietā, kā arī kā situācija bija iespējama un paliks nepamanīts ilgu laiku.

aizmugurējās durvis XZ
saistīto rakstu:
Kā Debianam bija iespējams apiet XZ aizmugurējās durvis? Īsa lietas analīze 

Un tagad Projekta xz autors un sākotnējais uzturētājs Lasse Collin paziņoja par jauno labojošo versiju publicēšanu no XZ Utils 5.2.13, 5.4.7 un 5.6.2. Šīs versijas noņem komponentu aizmugures durvis un citas aizdomīgas izmaiņas, kuras iepriekš pieņēma Jia Tan.

Līdz ar labojošo versiju publicēšanu, Lasse Collin arī dalījās ar pārskata ziņojumu par Git repozitoriju, tostarp veiktajām izmaiņām kopš 2022. gada decembra, un šajā laikā Jia Tan bija projekta uzturētājs. Ziņojumā ir sīki aprakstītas izmaiņas, kas tika analizētas individuālo saistību līmenī, un minēts, ka, lai gan saistības repozitorijā netika parakstītas digitāli, netika konstatētas nekādas apliecinātāju manipulācijas pazīmes. Kopumā no repozitorija tika noņemtas astoņas ļaunprātīgas darbības.

Y lai gan bija dažas izmaiņas, par kurām bija aizdomas par ļaunprātīgu izmaiņu ieviešanu no 2023. gada, taču mēs varam atzīmēt, ka ziņojumā tas ir detalizēti aprakstīts Pirmās izmaiņas, kas ieviestas aizmugures durvju ieviešanai, ir datētas ar 2024. gada sākumu, kur Jia Tan jau bija lielāka aktivitāte saistībā ar aizmugures durvju ieviešanu XZ.

Šos saspiestos failus izveidoja un parakstīja Jia Tan. Tie ir pārskatīti, un tajos nav ļaunprātīga satura.

PIEZĪME
Tagus v5.2.11 un v5.4.2 Git repozitorijā parakstīja Jia Tan, bet tar failus izveidoju un parakstīju es.
Ar šādiem izņēmumiem faili Git repozitorijā atbilst tar failiem:

.po faili tiek atjaunināti kā daļa no make mydist (vai make dist)

ChangeLog ir fails, kas ģenerēts tar arhīvos.

Katra versija ir pieejama vairāk nekā vienā saspiešanas formātā. .tar dekompresija ir vienāda visiem katras versijas saspiešanas formātiem.

Failu saraksti zip failos ir labi. Piemēram, viens un tas pats fails neparādās vairāk kā vienu reizi.

PDF failus ir grūti reproducēt, jo tie satur laikspiedolu un ir atkarīgi arī no izmantoto rīku versijas. Tomēr PDF faili izskatās normāli, un arī to failu izmēri ir normāli (tie atšķiras tikai par dažiem baitiem).

Ziņojumā arī tiek minēts, ka CRC kods CLMUL, kas ģenerē viltus pozitīvus rezultātus, pārbaudot ar MSAN (atmiņas dezinfekcijas līdzeklis) un problēmas ar OSS Fuzz, tas vēl nav noņemts no koda bāzes. Lai arī nākotnē šo kodu plānots pārstrādāt, pagaidām nolemts to neaiztikt, lai izvairītos no regresijas vecajos zaros. Vecajās saistībās, kas tika pievienotas pirms izmaiņām, kas saistītas ar aizmugures durvīm, netika konstatētas aizdomīgas izmaiņas. Turklāt atsevišķi tika pārbaudīta po failu lokalizācija, metadati tar failos un faili ar versijām un tulkojumiem.

Papildus tam arī tiek minētas izmaiņas, kas ietver novēlotu kļūdu labojumu iekļaušanu un IFUNC mehānisma atbalsta atcelšanu paredzēts Glibc netiešajiem funkciju izsaukumiem, kas tika izmantots aizmugures funkciju pārtveršanas organizēšanai. Ir svarīgi atzīmēt, ka IFUNC izmantošana tikai sarežģī kodu un veiktspējas pieaugums ir niecīgs. Piesardzības nolūkos no avota pakotnes tika noņemts arī XZ logotips, rokasgrāmatu lapu PDF versijas un divi x86 un SPARC arhitektūras testi, kas apstrādāja objektu failus kā ievadi.

uzlabojumi, kas tika ieviesti, ir atrodams, piemēramvai xzdec dekodētājā ir pievienots atbalsts izolācijas mehānisma ABI versijai 4 no Landlock lietojumprogrammām. Turklāt Autotools veidošanas skriptiem tika pievienota opcija “–enable-doxygen”, un Cmake skriptam tika pievienots parametrs ENABLE_DOXYGEN, lai ģenerētu un instalētu dokumentāciju liblzma API, izmantojot Doxygen. Iepriekš ģenerētā dokumentācija arī ir izņemta no iepakojuma, lai samazinātu izmēru un sarežģītību.

beidzot, ja esi interesē uzzināt vairāk par to, Sīkāku informāciju par publikāciju varat pārbaudīt šī saite.


Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: AB Internet Networks 2008 SL
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.