Спустя месяц после выпуска новой версии архиватора XZ 5.6.0 Андрэс Фрэйнд (Andres Freund, anarazel, PostgreSQL Developer & Committer) сообщил об обнаружении в нём бэкдора (тайного входа).
Уязвимости подвержены системы, использующие этот код. Поскольку код очень нов, то он пока что попал только в новейшие дистрибутивы (Red Hat Fedora Linux 40 и Fedora Rawhide, openSUSE Tumbleweed — но не Slowroll и Leap, другие). Пакеты с исправлением уже готовы. Перезагрузите систему после обновления. Пока что исправление сделали путём возврата к предыдущим версиям (XZ 5.4).
Атака выглядит весьма умелой. Код бэкдора хорошо прятали.
Открытие уязвимости ('Backdoor in upstream xz/liblzma leading to ssh server compromise")
Исследование уязвимости № 1 ("Everything I Know About the Xz Backdoor") (обновляется)
Исследование уязвимости № 2 ("FAQ on the xz-utils backdoor")
Комментарии (6)
kovserg
30.03.2024 18:48А что там у windows? Он же теперь тоже много форматов архивов поддерживает.
LuckyStarr
30.03.2024 18:48Что это? Как это связано темой и содержанием статьи?
strvv
30.03.2024 18:48Есть опасность, пусть и не через ssh, а, например через Керберос вывезти аналогичную проблему. Хотя пак от MS будет на библиотеку к ядру системы, относящейся к сжатию.
ThingCrimson
Да уж… Почитал сообщение от Andres Freund в рассылке oss-security, волосы на голове зашевелились! Вот написали практически эталонную реализацию SSH (спасибо OpenBSD Project), важность этого демона для безопасности сложно переоценить. А дистрописатели (Debian, RedHat, SUSE) возьми да и пропатчи его, для поддержки новомодного systemd; а последний внезапно использует xz / liblzma. И вот у нас уже дыра на вход в систему, получите-распишитесь!
Хорошо, что я на дебиане всегди сижу на oldstable, иногда oldoldstable — есть надежда, что по граблям до меня побегать успеют.
(прочитал новость, оформленную лучше чем статья, кажется понял за что минусят эту публикацию)
strvv
Вся проблема в том, что унифицирующие технологии, тот же SystemD стали все, за исключением нескольких "отщепенцев", типа Патрика Фолькердинга, вводить для упрощения обслуживания.
Те же ФлатПаки и прочее. В Виндовс это менее заметно, т.к. штатно используется политика аналогично ФлатПакам - критично необходимые версии библиотек тянут с собой сами приложения.
У отечественных дистрибутивов в этом отношении фактически печально, за исключением Базальт СПО, все остальные, даже широко распиаренный и продвигаемый везде толстой волосатой лапой АстраЛинукс - это клоны мировых дистрибутивов, и своей политики они фактически не ведут.
У альтов осталась и SysVinit на серверах.
Цитата с сайта AltLinux.
Из-за этого стоит взять почти один пакет, который ранее, да и сейчас в той же Slackware, небольшой и зависимостей нет, то в майнстриме deb и rpm, обычно потянет за собой libgir1 и прочие библиотеки, которые ворохом притянут весь дистрибутив.
Отчего тот же минт и другие дистрибутивы фактически разворачиваются не пакетами, а образом, и быстрее и пользователю думать не надо, а потом, пользователь, по желанию может сделать обрезание. Но он в своих желаниях чрезвычайно ограничен.
Johan_Palych
Почитайте лучше тут:
29.03.2024 22:18 В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd
https://www.opennet.ru/opennews/art.shtml?num=60877
30.03.2024 12:47 Ретроспектива продвижения бэкдора в пакет xz
https://www.opennet.ru/opennews/art.shtml?num=60880
В trixie/sid откатились до 5.4.5-1
hostnamectl | grep -E "Operating System:|Kernel:";xz --version;dpkg --list | grep -E "xz-utils|liblzma"