Проект XZ опубликовал результат аудита коммитов и первое обновление после выявления бэкдора

30.05.2024 14:18

Лассе Коллин (Lasse Collin), автор и сопровождающий проекта xz, недавно давший права второму сопровождающему Jia Tan, деятельность которого привела к внедрению бэкдора, опубликовал корректирующие выпуски пакета XZ Utils 5.2.13, 5.4.7 и 5.6.2, в которых удалены компоненты бэкдора и прочие подозрительные изменения, ранее принятые от Jia Tan.

Кроме того, опубликован отчёт о рецензировании Git-репозитория и изменений, добавленных с декабря 2022 года во время нахождения Jia Tan на посту сопровождающего. Изменения разобраны на уровне отдельных коммитов. Коммиты в репозитории не были заверены цифровой подписью, но следов подделки со стороны коммиттеров не выявлено. Всего из репозитория удалено 8 вредоносных коммитов.

Из кодовой базы пока не удалён код CRC CLMUL, приводящий к ложным срабатываниям при проверке в MSAN (Memory sanitizer) и проблемам с OSS Fuzz. В дальнейшем данный код планируют переработать, но пока его решено не трогать, чтобы избежать регрессий в старых ветках. Подозрительных изменений в старых коммитах, добавленных до внесения изменений, связанных с продвижением бэкдора, не выявлено. Отдельно были проверены po-файлы локализации, метаданные в файлах tar и архивы с релизами и переводами.

Из изменений также отмечается включение накопившихся исправлений ошибок и удаление поддержи механизма IFUNC, предоставляемого в Glibc для косвенного вызова функций, который был задействован для организации перехвата функций в бэкдоре. Отмечено, что использование IFUNC лишь усложняет код, а выигрыш в производительности от него несущественный. В качестве перестраховки из пакета c исходными текстами также удалены логотип XZ, PDF-версии man-страниц и два теста для архитектур x86 и SPARC, в которых в качестве входных данных обрабатывались объектные файлы.

Из новшеств в декодировщик xzdec добавлена поддержка 4 версии ABI механизма изоляции приложений Landlock. В сборочные скрипты Autotools добавлена опция "--enable-doxygen", а в сценарии Cmake параметр ENABLE_DOXYGEN для генерации и установки документации на API liblzma, используя Doxygen. Уже сгенерированная документация удалена из пакета.

исправить +32 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/61275-xz

Ключевые слова: xz, backdoor

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (32)

1.1, Аноним (1), 15:10, 30/05/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–17 +/–

1.2, Аноним (2), 15:11, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Может старый сопровождающий тоже наделал бекдоров до 2022 года

2.50, Аноним (50), 18:36, 31/05/2024 [^] [^^] [^^^] [ответить]	+2 +/–
> Может старый сопровождающий тоже наделал бекдоров до 2022 года Виндой пользуйся, там даже и гадать не надо - заведомо известно что бэкдоры есть. И не надо греть мозг всякими глупостями :)

1.3, Аноним (3), 15:14, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> 5.2.13, 5.4.7 и 5.6.2 Нафига столько релизов? Это не мегасложный проект, где есть смысл в нескольких релизных ветках. А здесь-то зачем?

2.4, НяшМяш (ok), 15:24, 30/05/2024 [^] [^^] [^^^] [ответить]	–1 +/–
Для всяких любителей окамен^Wстабильного - там страшно с 5.2 сразу на 5.4 переезжать.

3.6, Аноним (6), 15:28, 30/05/2024 [^] [^^] [^^^] [ответить]	–1 +/–
>с 5.2 сразу на 5.4 переезжать Зачем? Про "бритву Оккама" знаешь?

4.13, Аноним (13), 16:07, 30/05/2024 [^] [^^] [^^^] [ответить]	+3 +/–
А ты слышал про окно Овертона?

5.15, Аноним (15), 16:28, 30/05/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Чуть что, сразу приплетают окно Овертона

6.20, Аноним (20), 16:56, 30/05/2024 [^] [^^] [^^^] [ответить]	+4 +/–
Что характерно это и есть окно Овертона.

7.29, Аноним (29), 17:59, 30/05/2024 [^] [^^] [^^^] [ответить]	+6 +/–
В приоткрытое окно Овертона показалась бритва Оккама

8.30, Аноним (-), 18:07, 30/05/2024 [^] [^^] [^^^] [ответить]	+/–
О, это еще приемлемо А то мало чего еще Оккам в окно показывать может ... текст свёрнут, показать

4.44, Аноним (44), 00:10, 31/05/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Интернет умники забывают, что бритва Оккама применима для выбора из нескольких гипотез более простой. А не вообще для всего, включая выбор девушки, блюда на ужин и имени ребенку.

5.48, Аноним (48), 09:13, 31/05/2024 [^] [^^] [^^^] [ответить]	+/–
Не более простой , а наиболее подходящей? "Простой" субъективно..

5.52, Аноним (-), 18:54, 31/05/2024 [^] [^^] [^^^] [ответить]	+/–
Чего Вполне, в смысле Многообразие не следует предполагать без необходимости ... большой текст свёрнут, показать

5.53, noc101 (ok), 23:41, 31/05/2024 [^] [^^] [^^^] [ответить]	+/–
Да и про Окно Овертона тоже самое. Везде применяют, где можно и нельзя.

1.7, Аноним (-), 15:45, 30/05/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–7 +/–

1.12, Аноним (13), 16:06, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	–18 +/–
На самом деле его звали Li Si Tsin. А так сколько уже можно эту тему мусолить ну внедрили и внедрили Трой. Можно подумать в первый раз. Софт должны писать корпарации. Билл Гейтс всё подробно изложил в своём письме 1976 года всем любителям открытого софта.

2.14, Аноним (14), 16:14, 30/05/2024 [^] [^^] [^^^] [ответить]	+10 +/–
А вот по мнению БГ корпорации тебе вообще нифига не должны, читай EULA и плати за троянизацию и AI-майора прямо в облачке

3.25, Аноним (20), 17:08, 30/05/2024 [^] [^^] [^^^] [ответить]	+/–
Ну конечно. Если такой трой например всплывёт в госорганизации США. У троя будет и имя и фамилия и адрес проживания. А владельцам компании такие приколы не нужны.

4.38, Аноним (38), 19:30, 30/05/2024 [^] [^^] [^^^] [ответить]	+/–
> А владельцам компании такие приколы не нужны. А кто их спрашивать-то будет?

4.45, Аноним (45), 02:59, 31/05/2024 [^] [^^] [^^^] [ответить]	+/–
Ничего не будет. Американцы не будут топить мелкософт. А адрес если и будет, то какого-то линейного малозначащего сотрудника или менеджера которого давно хотели убрать. Настоящих ЛПР никогда не уберут и всячески прикроют (ну и у тех наверняка папочка с гнусными делами иелкософта которые окажутся у журналистов при их увольнении).

1.16, ryoken (ok), 16:29, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>>выигрыш в производительности от него не существенный. Несущественный.

1.17, Аноним (17), 16:31, 30/05/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

2.19, Аноним (-), 16:55, 30/05/2024 Скрыто ботом-модератором [к модератору]	+2 +/–

1.18, Аноним (18), 16:46, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Старый конь борозды не испортит.

1.31, birdie (ok), 18:10, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]

+8 +/–

А можно удалить к х*рам XZ из Linux? Это безумие на основе LZMA на фиг больше не нужно:

https://lzip.nongnu.org/xz_inadequate.html

Есть канонический 7-zip, а для вменяемых есть ZSTD - сжимает чуть хуже, зато скорость распаковки на порядок выше.

2.37, Саркофандр (?), 19:11, 30/05/2024 [^] [^^] [^^^] [ответить]	+/–
Что интересно, в Арче zstd тянет xz как зависимость, а в Дебиане zstd тянет liblzma, который, как я понял, есть часть xz.

3.42, yet another anonymous (?), 22:09, 30/05/2024 [^] [^^] [^^^] [ответить]	+2 +/–
zstd --- это wrapper над пачкой компрессоров.

2.46, OpenEcho (?), 07:48, 31/05/2024 [^] [^^] [^^^] [ответить]	+/–
> а для вменяемых есть ZSTD - сжимает чуть хуже зато память жрет как взрослый

2.49, Аноним (49), 10:17, 31/05/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Вот тебе не нужно у себя и удаляй, а мне под бэкапы 0.7% дают гигабайты и пофиг мне сколько оно распаковывается

1.43, Аноним (43), 22:17, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я так и не понял кто плохиш - "старый" передал "новому", вредоносные изменения внес "прошлый". Но они оба "прошлые".

игнорирование участников | лог модерирования

Добавить комментарий

Текст: