경고 개발자 중 한 명은 국가 지원 행위자가 로비 도구에 삽입했을 가능성이 있는 백도어가 프로덕션 Linux 시스템에 배포되는 것을 막은 것으로 보입니다. 이 악성 코드는 SSH 인증 중에 검사를 우회하는 것을 허용하는 것으로 보입니다.
xz Utils에서 백도어를 발견한 Microsoft 소프트웨어 엔지니어인 Anders Freund는 이 악성 코드가 버전 5.6.0과 5.6.1에서 도입되었다고 말했습니다. 법이 오랜 기간 동안 시행됐기 때문에 이것이 국가 주도 행위일 수 있다는 의혹이 제기됐다.
프로인트 서적 금요일: “지난 몇 주 동안 Debian sid 설치에서 liblzma(xz 패키지의 일부)에 대한 몇 가지 이상한 증상을 발견한 후(ssh로 로그인하면 많은 CPU를 소비하고 valgrind 오류가 발생함) 나는 답을 생각해 냈습니다: 업스트림 xz 저장소 뒷문에 xz개의 타르 볼을 배치했습니다.
“처음에는 이것이 데비안 패키지에 대한 절충안이라고 생각했지만, 알고 보니 첫 번째 단계였습니다.”
문제의 개발자 중 JiaT75라는 이름을 가진 한 사람은 2년 넘게 패키지 관리자로 일하고 있습니다. Freund는 “몇 주 동안 계속된 활동을 고려하면 가해자가 직접 관여했거나 시스템에 극단적인 손상이 있었던 것으로 보입니다.”라고 덧붙였습니다.
“안타깝게도 위에서 언급한 '개혁'에 대해 다양한 목록에서 이야기한 점을 고려하면 후자가 가장 가능성이 낮은 설명인 것 같습니다.” 그의 언급은 코드 문제를 해결하기 위해 의심스러운 조정자가 제안한 다양한 플러그인에 대한 것이었습니다. 여기, 여기, 여기그리고 여기. [Thanks to Dan Goodin for these four links.}
SSH or secure shell is an utility used to log in securely to systems, with the majority of Linux systems using a port known as OpenSSH that is maintained by the OpenBSD project, an Unix clone.
The only production Linux system in which the doctored code was distributed appears to have been the Tumbleweed stream put out by the OpenSUSE project. The developers at that project wrote on Friday: “For our openSUSE Tumbleweed users where SSH is exposed to the Internet, we recommend installing fresh, as it’s unknown if the backdoor has been exploited.
“Due to the sophisticated nature of the backdoor an on-system detection of a breach is likely not possible. Also rotation of any credentials that could have been fetched from the system is highly recommended.
“It has been established that the malicious file introduced into Tumbleweed is not present in SUSE Linux Enterprise and/or Leap. Current research indicates that the backdoor is active in the SSH Daemon, allowing malicious actors to access systems where SSH is exposed to the Internet.”
Debian issued patched versions of xz Utils for its testing, experimental and unstable streams of development. Red Hat said on Friday, “Fedora Linux 40 users may have received version 5.6.0, depending on the timing of system updates. Fedora Rawhide users may have received version 5.6.0 or 5.6.1.”
“At this time the Fedora Linux 40 builds have not been shown to be compromised. We believe the malicious code injection did not take effect in these builds. However, Fedora Linux 40 users should still downgrade to a 5.4 build to be safe.”
Later, Red Hat added: “We have determined that Fedora Linux 40 beta does contain two affected versions of xz libraries – xz-libs-5.6.0-1.fc40.x86_64.rpm and xz-libs-5.6.0-2.fc40.x86_64.rpm. At this time, Fedora 40 Linux does not appear to be affected by the actual malware exploit, but we encourage all Fedora 40 Linux beta users to revert to 5.4.x versions.”
It is likely to be quite some time before calm returns; former senior Debian developer Joey Hess provided one reason, noting that the accounts used by the suspected malicious actors had made more than 700 commits [code contributions] 지난 2년 동안.
“백도어를 실행한 Jia Tan이 xz에 대해 최소 750개의 커밋 또는 기여를 계산합니다. 여기에는 풀 요청이 2023년 1월 7일에 병합된 후 이루어진 모든 700개의 커밋이 포함됩니다. 이 시점에서 그들은 이미 유료 액세스 권한을 갖고 있는 것으로 보입니다. 또한 가짜 작성자에게 약정금을 지불할 수 있도록 허용했을 것이며 아마도 그 시점 이전에 다른 여러 약정도 수행했을 것입니다.
“백도어를 이전 버전으로 되돌리는 것만으로는 Jia Tan이 다른 백도어를 숨기지 않았다는 것을 알 수 없습니다. 버전 5.4.5에는 여전히 이러한 커밋의 대부분이 포함되어 있습니다.”
그는 “패키지를 이전 버전으로 복원해야 한다”고 덧붙였다. [the bad actors’] 공유는 6468f7e41a8e9c611e4ba8d34e2175c5dacdbeb4 커밋으로 시작되었습니다. 아니면 초기 약속 [should be] 이러한 사항은 나중에 확인되고 반환되지만 알려진 악의적이고 악의적인 행위자에 의한 임의의 커미션은 정확한 변경 사항이 눈에 띄지 않을 위험보다 확실히 가치가 낮습니다.
“버전 5.3.1로 되돌릴 것을 제안합니다. 그 시점 이후에 보안 수정 사항이 있었기 때문에 다시 적용해야 합니다.”
의심을 받은 사람은 목록에 없는 도움도 제안한 것으로 보입니다. 이는 다른 개발자의 환심을 사려는 시도일 수 있으며 이러한 제안에 대한 의심을 완화하려는 시도일 수 있습니다.
예상한 대로 이 문제에 관해 오랜 논의가 있었습니다. 리눅스 주간 뉴스 그 사람은 끈이 길어요 여기하는 동안 해적 뉴스 게시물이 2000개가 넘었어요 [when I last looked] 여기.