W xz/liblzma wykryto złośliwy kod, którego celem było uzyskanie nieautoryzowanego zdalnego dostępu poprzez SSH (backdoor) i wykonanie poleceń (CVE-2024-3094). Szkodnik został wprowadzony w wersjach 5.6.0 i 5.6.1 i, jak donosi OpenNet, przedostał się do kompilacji i repozytoriów Gentoo, Arch Linux, Debian sid/unstable, Fedora Rawhide/40-beta, openSUSE Factory/tumbleweed, LibreELEC, Alpine Edge, Solus, CRUX, Cygwin, MSYS2 mingw, HP-UX, Homebrew, KaOS, NixOS niestabilny, OpenIndiana, Parabola, PCLinuxOS, OpenMandriva Cooker and Rolling, pkgsrc current, Slackware current, Manjaro, Void Linux. Jednak backdoora nie można aktywować wszędzie.
Sytuację pogarsza fakt, że podejrzany deweloper w ostatnich latach angażował się także w powiązane projekty społeczne. Dlatego nie ma powodu ufać kodowi źródłowemu xz, dopóki nie zostaną wyjaśnione wszystkie szczegóły i konsekwencje tego, co się stało. W szczególności odpowiednie repozytorium w GitHub jest już zablokowane z komunikatem: „Dostęp do tego repozytorium został zablokowany przez personel GitHub z powodu naruszenia warunków korzystania z usługi GitHub”.
Osobom, którym udało się uzyskać zainfekowane wersje oprogramowania, zaleca się przywrócenie wersji 5.4.6 lub 5.4.1. Ta druga opcja jest preferowana, ponieważ ta wersja została wygenerowana przez poprzedniego opiekuna. Sam atak okazał się bardzo wyrafinowany, a jego realizacja zajęła około dwóch lat. Problem został odkryty niemal przez przypadek przez programistę, który zauważył nietypowe spowolnienie (różnica 0,5) na serwerze ssh. Rozwój sytuacji można śledzić na stronie internetowej projektu.
Powiązane materiały:
System wykrywania ataków R-Vision TDP wykorzystujący symulację infrastruktury IT otrzymał poważną aktualizację Solar uruchomił usługę ciągłego monitorowania bezpieczeństwa zewnętrznego obwodu IT Solar CPT Liczba wysoce krytycznych ataków na rosyjskie firmy wzrosła ponad trzykrotnie AMD przygotowuje akcelerator Instinct MI388X Firma Western Digital wypuściła dysk twardy z serii Red Pro o pojemności 24 TB do serwerów NAS
Źródła:
phoronix.com opennet.ru