XZ च्या लेखकाने नवीन सुधारात्मक आवृत्त्या आणि बॅकडोअर केसवर एक अहवाल प्रकाशित केला

XZ Linux उपयुक्तता

दोन महिन्यांपूर्वी, XZ युटिलिटीमधील बॅकडोअरची केस नोट आम्ही ब्लॉगवर येथे सामायिक करत आहोत, त्याच पोस्टमध्ये मी माझे मत देखील सामायिक केले आहे ज्यात मी नमूद केले आहे, आणि अजूनही नमूद करेन, की हे प्रकरण असे काहीतरी असेल ज्याबद्दल बरेच दिवस बोलले जाईल, कारण "हे लागू सामाजिक अभियांत्रिकीच्या सर्वोत्तम उदाहरणांपैकी एक आहे."

तसेच त्यावेळी आम्ही काही अतिरिक्त पोस्ट शेअर केल्या होत्या, जेथे या प्रकरणात करण्यात आलेल्या विविध कारवाईचे संकलन करण्यात आले होते, तसेच परिस्थिती कशी शक्य झाली आणि बर्याच काळासाठी लक्ष न दिला गेलेला जाईल.

मागील दरवाजा XZ
संबंधित लेख:
डेबियनला XZ मधील मागील दरवाजा बायपास करणे कसे शक्य होते? प्रकरणाचे थोडक्यात विश्लेषण 

आणि आता, xz प्रकल्पाचे लेखक आणि मूळ देखभालकर्ता, लासे कॉलिन यांनी नवीन सुधारात्मक आवृत्त्यांच्या प्रकाशनाची घोषणा केली. XZ Utils 5.2.13, 5.4.7 आणि 5.6.2 वरून. या आवृत्त्या जिया टॅनने पूर्वी स्वीकारलेले घटक मागील दरवाजे आणि इतर संशयास्पद बदल काढून टाकतात.

सुधारात्मक आवृत्त्यांच्या प्रकाशनासह, Lasse Collin ने Git repository वर केलेल्या बदलांसह पुनरावलोकन अहवाल देखील सामायिक केला डिसेंबर २०२२ पासून, ज्या काळात जिया टॅन या प्रकल्पाची देखभाल करणारी होती. अहवालात वैयक्तिक कमिट स्तरावर विश्लेषण केलेल्या बदलांचे तपशील दिले आहेत आणि उल्लेख केला आहे की जरी रेपॉजिटरीमधील कमिट डिजिटली स्वाक्षरी केलेले नसले तरी, कमिटर्सद्वारे हाताळणीची कोणतीही चिन्हे आढळली नाहीत. एकूण, आठ दुर्भावनापूर्ण कमिट रिपॉजिटरीमधून काढण्यात आल्या.

Y जरी काही बदल संशयास्पद होते 2023 पासून दुर्भावनापूर्ण बदलांचा परिचय, परंतु आम्ही लक्षात घेऊ शकतो की अहवालात तपशील 2024 च्या सुरूवातीस बॅकडोअर तारीख लागू करण्यासाठी लागू केलेले पहिले बदल, जिथे XZ मध्ये बॅकडोअरच्या परिचयाशी संबंधित जिया टॅनची आधीच अधिक क्रियाकलाप होती.

या संकुचित फाइल्स Jia Tan द्वारे तयार केल्या होत्या आणि त्यांचे पुनरावलोकन केले गेले आहे आणि त्यात दुर्भावनापूर्ण सामग्री नाही.

NOTA
Git रेपॉजिटरीमधील v5.2.11 आणि v5.4.2 हे टॅग जिया टॅनने स्वाक्षरी केले होते, परंतु टार फाइल्स माझ्याद्वारे तयार केल्या गेल्या आणि त्यावर स्वाक्षरी करण्यात आली.
खालील अपवादांसह, Git रेपॉजिटरीमधील फायली टार फाइल्सशी जुळतात:

.po फाइल्स मेक मायडिस्ट (किंवा डिस्ट मेक) चा भाग म्हणून अपडेट केल्या जातात.

चेंजलॉग ही टार आर्काइव्हमध्ये व्युत्पन्न केलेली फाइल आहे.

प्रत्येक आवृत्ती एकापेक्षा जास्त कॉम्प्रेशन फॉरमॅटमध्ये उपलब्ध आहे. .tar डीकंप्रेशन प्रत्येक आवृत्तीच्या सर्व कॉम्प्रेशन फॉरमॅटसाठी समान आहे.

झिप फाईल्समधील फाइल याद्या चांगल्या आहेत. उदाहरणार्थ, समान फाइल एकापेक्षा जास्त वेळा दिसत नाही.

पीडीएफ फाइल्सचे पुनरुत्पादन करणे कठीण आहे कारण त्यात टाइमस्टॅम्प आहे आणि ते वापरल्या जाणाऱ्या साधनांच्या आवृत्तीवर देखील अवलंबून आहे. तथापि, पीडीएफ फाइल्स सामान्य दिसतात आणि त्यांच्या फाइल आकार देखील सामान्य असतात (त्या फक्त काही बाइट्सने भिन्न असतात).

अहवालात, देखील CRC कोड CLMUL, जो MSAN सोबत तपासताना खोटे सकारात्मक गुण निर्माण करतो असा उल्लेख आहे (मेमरी सॅनिटायझर) आणि OSS Fuzz सह समस्या, ते अद्याप कोड बेसमधून काढले गेले नाही. या संहितेवर भविष्यात पुन्हा काम करण्याचे नियोजित असले तरी, जुन्या शाखांमधील रिग्रेशन टाळण्यासाठी सध्यातरी त्यास स्पर्श न करण्याचा निर्णय घेण्यात आला आहे. बॅकडोअरशी संबंधित बदलांपूर्वी जोडलेल्या जुन्या कमिटमध्ये कोणतेही संशयास्पद बदल आढळले नाहीत. याव्यतिरिक्त, po फाइल्सचे स्थान, टार फाइल्समधील मेटाडेटा आणि आवृत्त्या आणि भाषांतरांसह फाइल्स स्वतंत्रपणे सत्यापित केल्या गेल्या.

त्या व्यतिरिक्त, देखील ओव्हरड्यू बग फिक्स समाविष्ट करणे आणि IFUNC यंत्रणेसाठी समर्थन काढून टाकणे समाविष्ट करण्यासाठी बदल नमूद केले आहेत Glibc मध्ये अप्रत्यक्ष फंक्शन कॉलसाठी प्रदान केले गेले, जे बॅकडोअर फंक्शन इंटरसेप्शन आयोजित करण्यासाठी वापरले गेले. हे लक्षात घेणे महत्त्वाचे आहे की IFUNC वापरणे केवळ कोड गुंतागुंतीचे करते आणि कार्यप्रदर्शन लाभ नगण्य आहे. सावधगिरी म्हणून, XZ लोगो, मॅन पेजेसच्या PDF आवृत्त्या, आणि x86 आणि SPARC आर्किटेक्चर्ससाठी दोन चाचण्या, ज्याने इनपुट म्हणून ऑब्जेक्ट फाइल्सवर प्रक्रिया केली, ते देखील स्त्रोत पॅकेजमधून काढले गेले.

साठी म्हणून अंमलात आणलेल्या सुधारणा, उदाहरणार्थ आढळले आहेकिंवा xzdec डीकोडरमध्ये अलगाव यंत्रणेच्या ABI आवृत्ती 4 साठी समर्थन जोडले लँडलॉक अनुप्रयोगांचे. याव्यतिरिक्त, Autotools बिल्ड स्क्रिप्टमध्ये “–enable-doxygen” पर्याय जोडला गेला आणि Doxygen वापरून liblzma API साठी दस्तऐवज तयार करण्यासाठी आणि स्थापित करण्यासाठी Cmake स्क्रिप्टमध्ये ENABLE_DOXYGEN पॅरामीटर जोडला गेला. आकार आणि जटिलता कमी करण्यासाठी यापूर्वी व्युत्पन्न केलेले दस्तऐवजीकरण देखील पॅकेजमधून काढून टाकण्यात आले आहे.

शेवटी तुम्ही असाल तर याबद्दल अधिक जाणून घेण्यात स्वारस्य आहे, तुम्ही मध्ये प्रकाशनाचे तपशील तपासू शकता खालील दुवा.


आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटासाठी जबाबदार: AB इंटरनेट नेटवर्क 2008 SL
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.