XZ作者发布新修正版本及后门案例报告

XZ Linux 实用程序

2个多月前, 我们在博客上分享 XZ 实用程序中后门的案例说明, 在同一篇文章中,我也分享了我的观点,我在其中提到并将继续提到,此案将是一个将被讨论很长时间的事情,因为 “这是应用社会工程的最佳例子之一。”

当时我们分享了一些额外的帖子,其中汇总了案件中采取的各种行动,以及 这种情况怎么可能发生 并且会在很长一段时间内不被注意。

后门XZ
相关文章:
Debian 怎么可能绕过 XZ 的后门呢?案例简要分析 

现在, xz 项目的作者和原始维护者 Lasse Collin 宣布发布新的修正版本 来自 XZ Utils 5.2.13、5.4.7 和 5.6.2。这些版本删除了 Jia Tan 之前接受的组件后门和其他可疑更改。

随着修正版本的发布, Lasse Collin 还分享了一份关于 Git 存储库的审查报告,包括所做的更改 自 2022 年 XNUMX 月起,贾坦担任该项目的维护者。该报告详细介绍了在单个提交级别分析的更改,并提到虽然存储库中的提交没有数字签名,但没有发现提交者操纵的迹象。总共有八个恶意提交从存储库中删除。

Y 尽管有一些被怀疑的变化 从 2023 年开始引入恶意更改,但我们可以注意到该报告详细说明了 为引入后门而实施的首次更改可以追溯到 2024 年初, 其中,Jia Tan 已经开展了更多与在 XZ 中引入后门相关的活动。

这些压缩文件是由 Jia Tan 创建和签名的,并且已经过审核并且不包含恶意内容。

注:
Git 存储库中的标签 v5.2.11 和 v5.4.2 是由 Jia Tan 签名的,但 tar 文件是由我创建和签名的。
除以下例外情况外,Git 存储库中的文件与 tar 文件匹配:

.po 文件作为 make mydist(或 make dist)的一部分进行更新

ChangeLog 是在 tar 存档中生成的文件。

每个版本都提供多种压缩格式。每个版本的所有压缩格式的.tar 解压都是相同的。

zip 文件中的文件列表很好。例如,同一文件不会出现多次。

PDF 文件很难复制,因为它们包含时间戳,并且还取决于所使用工具的版本。但是,PDF 文件看起来很正常,文件大小也很正常(仅相差几个字节)。

报告中还 提到 CRC 代码 CLMUL,在使用 MSAN 检查时会产生误报 (内存清理程序)和 OSS Fuzz 问题,它尚未从代码库中删除。尽管计划在将来重新编写此代码,但目前已决定不触及它,以避免旧分支中的回归。在与后门相关的更改之前添加的旧提交中未发现可疑更改。此外,还分别验证了 po 文件的位置、tar 文件中的元数据以及具有版本和翻译的文件。

除了它,还 提到的更改包括包含逾期的错误修复以及取消对 IFUNC 机制的支持 Glibc中提供了间接函数调用,用于组织后门函数拦截。需要注意的是,使用 IFUNC 只会使代码变得复杂,并且性能提升可以忽略不计。作为预防措施,XZ 徽标、手册页的 PDF 版本以及 x86 和 SPARC 架构的两个测试(将对象文件作为输入进行处理)也从源代码包中删除。

至于 已实施的改进,例如发现或者在 xzdec 解码器中添加了对 ABI 版本 4 隔离机制的支持 内陆应用程序。此外,“–enable-doxygen”选项已添加到 Autotools 构建脚本中,并且 ENABLE_DOXYGEN 参数已添加到 Cmake 脚本中,以使用 Doxygen 生成和安装 liblzma API 的文档。以前生成的文档也已从包中删除,以减少大小和复杂性。

最后,如果你是 有兴趣了解更多关于它的信息, 您可以在发布的详细信息中查看 以下链接。


发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责资料:AB Internet Networks 2008 SL
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。