Вхід і реєстрація
Новини · 2 квітня 2024, 20:05 1916
DOU Community

У пакеті XZ Utils виявили бекдор

Проблему помітив розробник Андрес Фройнд. Він працював над продуктивністю системи Debian із SSH та помітив, що проблеми виникають після оновлень XZ Utils (ран. LZMA Utils). Адже хтось навмисне встановив туди бекдор.

Як зазначили у блозі Red Hat, це втручання потенційно може дозволити зловмиснику зламати автентифікацію SSHD і отримати неавторизований доступ до всієї системи віддалено.

Юзерів відразу закликали припинити користуватися версіями 5.6.0 і 5.6.1 пакета xz.

На вашу думку, наскільки критичною є така вразливість? Чи вплине це на вашу роботу?

Теми: Linux, Security
👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Valentin Nechayev уповноважений по милицях в Дарницькі печери 07.04.2024 13:43

Поки що «так собі». Це може бути українець, білорус, фінн, ізраїльтянин, палестинець, грек... і припусковні цілі і ідеологія у них дуже різна.
Може, українець хотів зробити засіб для атаки проросійських серверів. А може, прихильник Олександра Македонського хотів відродити Велику Грецію від Неаполя до Карачі. Як зʼясувати правду?

Відповісти
Підтримати
Mike Smith
Владислав Павленко Senior Full-stack developer в CyberVision 11.04.2024 18:26

Варто коменти почитати під цим постом, плюс аргумент про робочи часи теж так собі, всіх сильно різні люди бувають. Я скоріш повірю, виходячи зі складності бекдору, що працювали з якоїсь віртуальної або підставної машини(середовища), щоб точно нічого про себе не спалити.

Відповісти
Підтримати
Mike Smith
Рахіт Срінавасович Кумар 04.04.2024 05:16

Федорине горе читав і дфафільм диіився
Кацапський білд лінуксу

Відповісти
Підтримати
Oleksandr Suvorov https://spgr.org.ua/uk/ в Qualcomm Inc. 03.04.2024 13:13

1. Fedora 40 і 41 ще не випущені в реліз.
2. 5.6.0 і 5.6.1 — це версії пакету xz, а не Fedora.

Із всіх відомих дистрибутивів лінукса, версія xz із бекдором потрапилла тільки в реліз Arch Linux. Дістр для фріків.

Висновнок:
— автору посту — незалік. Виправьте фактичні помилки в пості.
— цей бекдор не наніс ніякої реальної шкоди. Якби він портапив в стейбл реліз якогось відомого дістрибутиву, який використоовується для серверів — це була б катастрофа. Її вдалось попередити.

Відповісти
Підтримати
Oleksandr Natalenko Senior Principal Software Maintenance Engineer в Red Hat 03.04.2024 16:00
Із всіх відомих дистрибутивів лінукса, версія xz із бекдором потрапилла тільки в реліз Arch Linux. Дістр для фріків.

От тільки в Арчі openssh не лінкується з liblzma, та й сам бекдор не тріггериться під час білду на не-Дебі і не-RPM.

Відповісти
Підтримати
Oleksandr Suvorov
Никифор Неперепериндя 04.04.2024 00:30

Він ніде безпосередньо з liblzma не лінкуєцця, тільки подекуди через libsystemd. Та й тут уже ні, бо втягнуто зміни для підвантажування бібліотек компресії через dlopen(). Вони потрібні тільки для journald/journalctl. Хоча, гадаю, саме ця зміна в Fedora 40 ше не зайде.

Взагалі, лінкувати цілий libsystemd тіко для sd_notify() — теж так собі ідея, це як купити пасажирський літак, бо тобі з нього лампочка для читання потрібна. Там прості текстові повідомлення через сокет, можна склепати самому.

Відповісти
Підтримати
Oleksandr Natalenko
Никифор Неперепериндя 04.04.2024 00:25

Fedora 40 стає базою для RHEL 10, це суперціль для такого експлойту. І ще убунту 24.04 LTS

Відповісти
Підтримати
Oleksandr Suvorov
Anastasia Radionova Marketing Lead в DOU.ua 04.04.2024 13:25

Дякую, ми виправили неточності щодо версії пакета xz.

Відповісти
Підтримати
Oleksandr Suvorov
юнит тест 04.04.2024 15:29

heartbleed как-то пережили, так openssl в половине серверов установлена) а дыра была известна узкому кругу лиц.
Проблема liblzma что разрешили комитить блобы и дали маинтейнера какому-то анониму, который с нескольких аккаунтов пушил автора

Відповісти
Підтримати
Oleksandr Suvorov
Java Bee 05.04.2024 11:30
дали маинтейнера какому-то анониму,

95% OSS маінтейнять «якісь аноніми»
Це більше схоже на проблему глобального «dll hell», ніж на проблему суто liblzma

Відповісти
Підтримати
юнит тест
Ivan Kit 05.04.2024 00:58

Дістр для фріків 😂 Steam Deck runs SteamOS version 3, based on the Arch Linux operating system. 🤣 це так з грубого ...

Відповісти
Підтримати
Oleksandr Suvorov
Oleksandr Suvorov https://spgr.org.ua/uk/ в Qualcomm Inc. 05.04.2024 16:35

Хм. Неочікувано, дякую :)

Відповісти
Підтримати
Ivan Kit
Ivan Kit 05.04.2024 17:19

Хех, насправді ролінг-оут дістри круто брати для такого пристрою, якщо ви збираєтесь підтримувати його чуть більше ніж всякі «китайські замінники телефонів ідентичних натуральним» — зробив собі зеркало і по тихому постійно тримаєш пристрій в тонусі, без «пожеж» по типу «новий реліз» ...

Відповісти
Підтримати
Oleksandr Suvorov
Dmitry 03.04.2024 11:12

сообщество os в очередной раз показало высокую эффективность контроля, когда смотрят множество глаз. в коммерческом продукте все это весело бы уехало в релизы и никто бы не почесался

Відповісти
Підтримати
Vsevolod Lobko Problem Solver (if you don't have problems yet, it's easy to fix) 03.04.2024 11:46

Спільнота OS показала, що абсолютно випадкова особа, про яку нічого не відомо, окрім емейлу, використовуючи кілька фейкових акаунтів, за рік отримала статус мейнтейнера і можливість пушити випадкові зібрані власноруч релізи прямо в репозиторії Debian...

Відповісти
Підтримати
Dmitry
Sergey Podobry Development Leader в Apriorit 03.04.2024 12:16

А чим це відрізняється від абсолютно випадкової особи, яка прийшла на роботу в Microsoft, і може пушити коміти прямо в репозиторій Windows?

Відповісти
Підтримати
Vsevolod Lobko
Vsevolod Lobko Problem Solver (if you don't have problems yet, it's easy to fix) 03.04.2024 12:19

Цю випадкову особу перевірить служба безпеки, перш ніж дати доступ до репозиторію. Та не дозволять пушити релізи клієнтам після п’яти комітів у допоміжні скрипти.

Відповісти
Підтримати
Sergey Podobry
Sergey Podobry Development Leader в Apriorit 03.04.2024 12:28

Та будь-яку ідеальну особу можуть підкупити, залякати, шантажувати або хакнути її комп. Опенсорс тут як раз максимально захищений, бо він розподілений на відміну від однієї закритої компанії. Єдине що потрібне — рев’ю кода.

Відповісти
Підтримати
Vsevolod Lobko
Олександр Мощенко 03.04.2024 12:31

а після походу з тімлідом по бабам — дадуть доступ.
це ж корпорації. там оно студент в цру доступ до секретних документів мав, а тут щоб у дева не було можливості добитися потрапляння чогось в прод?

Відповісти
Підтримати
Vsevolod Lobko
Valentin Nechayev уповноважений по милицях в Дарницькі печери 07.04.2024 13:40

І що? Ну ось мене перевірили, я такий собі пересічний Василь Петренко, мідл C++. Завтра до мене підходить чоловʼяга з пропозицією, від якої не можна відмовитись, а взамін обіцяє, по завершенню операції, нові документи, іншу країну і, якщо хочу, пластичну операцію. А внутрішнього ревʼю нема і я комічу усяку повну хєрню, на яку навіть начальник дивиться по принципу «ну тут є відомі слова, все значить ок» і може задати пару питань типа «чому ти в регістр 0xcc0022 поклав 3, а не 2». Ревізії старого коду нема від слова «зовсім». І вистрілить моя закладка років через 3-4. К тому моменту я буду в іншій країні... або під землею, бо виконувати обіцянки той тип не стане.

Про якість контроля я серйозно — на кількох проектах саме класу «linux embedded» все що було це гонка за фічами, і добре коли хоча б регресії перевірялись (на деяких і того не було! я міг зламати сусіду що завгодно і помітили б це тільки через півроку у кращому випадку). Був sonarqube, який перевіряє зовсім інше. І все.

А юзерів у одного з проектів було декілька мільйонів. Ось і рахуйте, скільки таких закладок _реально_ є у тих системах, що ми використовуємо кожного дня...

Відповісти
Підтримати
Vsevolod Lobko
Олександр Мощенко 03.04.2024 12:31

не рік, а два. похибка всього в два рази)
> 2021-10-29: Jia Tan sends first, innocuous patch to the xz-devel mailing list, adding “.editorconfig” file.
> 2024-02-23: Jia Tan merges hidden backdoor binary code well hidden inside some binary test input files.

Відповісти
Підтримати
Vsevolod Lobko
Vsevolod Lobko Problem Solver (if you don't have problems yet, it's easy to fix) 03.04.2024 12:35

2023-03-18: Jia Tan tags and builds their first release, v5.4.2.

Відповісти
Підтримати
Олександр Мощенко
Vsevolod Lobko Problem Solver (if you don't have problems yet, it's easy to fix) 03.04.2024 12:39

> 2024-02-24: Jia Tan tags and builds v5.6.0 and publishes an xz-5.6.0.tar.gz distribution with an extra, malicious build-to-host.m4 that adds the backdoor when building a deb/rpm package. This m4 file is not present in the source repository, but many other legitimate ones are added during package as well, so it’s not suspicious by itself. But the script has been modified from the usual copy to add the backdoor. See my xz attack shell script walkthrough post for more.

Тобто файли, які використовуються при білді релізів, у репо не трекаються...

Тобто порушуються мінімальні правила для supply chain consistency...

Відповісти
Підтримати
Олександр Мощенко
Oleksandr Natalenko Senior Principal Software Maintenance Engineer в Red Hat 03.04.2024 16:02

Правда. Терміново всім на шиндошс.

Відповісти
Підтримати
Vsevolod Lobko
Valentin Nechayev уповноважений по милицях в Дарницькі печери 03.04.2024 07:40

Анонімне журнашлю, застрілися само. Ти переплутало все що могло.

По сути: 1) Не вплине. 2) Пʼятирічну підготовку спалив один хакер, який просто помітив затримку. Може, він аутист, але йому велика дяка.

Відповісти
Підтримати
Valentin Nechayev уповноважений по милицях в Дарницькі печери 03.04.2024 07:38

Х його З...

Відповісти
Підтримати
Slavik Savko
Vsevolod Lobko Problem Solver (if you don't have problems yet, it's easy to fix) 02.04.2024 20:16

5.6.0 та 5.6.1 це не версії Федори, а версії libxz. Жодна non-testing дистрибуція їх ще не встигла включити, окрім always-on-the-edge дистрибуцій, таких як Kali (хаха), Gentoo та подібних. Тобто, реальний вплив близький до нуля...

Але ситуація, як така, дуже добре ілюструє поточний стан security у більшості опенсорсу...

Відповісти
Підтримати
Serhii Tyshchenko Embedded Software Engineer 02.04.2024 20:34

Більшість не-опенсорсу від подібного віддаляє всього 1-2 рев’ювери при мр і на кілька порядків менші шанси на дизасемблювання і аналіз сторонніми розробниками.

Відповісти
Підтримати
Vsevolod Lobko
Vsevolod Lobko Problem Solver (if you don't have problems yet, it's easy to fix) 02.04.2024 20:44

Це не про рев’ю, це про імпорт рандомних релізів рандомного софта, зробленого рандомними людьми, з заплющеними очіма...

Відповісти
Підтримати
Serhii Tyshchenko
Serhii Tyshchenko Embedded Software Engineer 02.04.2024 21:46

А де брати не-рандомний?

Відповісти
Підтримати
Vsevolod Lobko
Vsevolod Lobko Problem Solver (if you don't have problems yet, it's easy to fix) 02.04.2024 22:03

Хоча б pin’ити версії там перевіряти чексуми...

Відповісти
Підтримати
Serhii Tyshchenko
Serhii Tyshchenko Embedded Software Engineer 03.04.2024 01:07

Від того що залежності вендоряться і кладуться у всіляких артіфакторях, менш «зробленими рандомними людьми» вони не стають, а повільні процедури апдейтів захищають від 0-day, зате сповільнюють доставку фіксів для старих вразливостей.
Навряд чи ця задача має правильне рішення, з цієї історії вибивається з загального ряду хіба що недосконалість підходу autotools для харденінгу.

Відповісти
Підтримати
Vsevolod Lobko
Олександр Мощенко 03.04.2024 09:22

для кого це важливо — пінить версії, сидить на стеблі дебіану з п’ятирічної давнини протестованими пакетами.
А тут бекдор закомітила людина, котрій вдалося в офіційні мейнтейнери пакету пробратися.
тож тут геть не про безумний імпорт рандомного софту. це, все ж, не nodejs екосистема..

Відповісти
Підтримати
Vsevolod Lobko
Volodimir Nazarenko Senior .Net Developer / Teamlead в Perfectial 02.04.2024 23:22

А також бекграунд чек на етапі доступа в репо, з перевіркою документів. Тут основна проблема, що мейнтейнер, що включив бекдор — то persona, а не реальна людина. Нема кого притягнути до відповідальності, імейл до справи не пришьєш.

Відповісти
Підтримати
Serhii Tyshchenko
Никифор Неперепериндя 04.04.2024 00:34

В Штатах точно можна пошити справу на невідому особу, яка представлялась як Х, користувалась імейл-адресою У, зробила заборонений чин Й. Коли їх знайдуть, то вже пофіг, скіко їх там насправді було.

Відповісти
Підтримати
Volodimir Nazarenko
Anastasia Radionova Marketing Lead в DOU.ua 04.04.2024 13:25

Дякую, ми виправили неточності щодо версій.

Відповісти
Підтримати
Vsevolod Lobko

Підписатись на коментарі

Не підписуватись
Скористайтесь акаунтом
×
з умовами використання сайту і політикою конфіденційності.