XZ -Havoittuvuus Linuxeissa

[maksim]

Bongasin tämän tuolta Susen sivustolta:

https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_10/2024

[Tomin]

Yksi asia tuosta ilmoituksesta puuttuu: Ilmeisesti tuo takaportti oli ainoastaan Githubista ladattavassa tar-pakkauksessa, eikä sitä ole laitettu versionhallintaan. Riippuen siitä miten jakelu hakee lähdekoodin siinä voi olla tai olla olematta haavoittuvaa koodia. Siellä myöskin mainitaan, että Arch olisi haavoittuva, mutta siihenkin on julkaistu päivitys (sen lisäksi ettei siinä ilmeisesti edes alkujaan ollut haavoittuvaa koodia).

Kannattaa myös huomata, että tuota versiota ei oltu päivitetty vielä useimpiin käytössä oleviin jakeluihin. Lähinnä kehitysversioiden ja joidenkin rollin release -jakeluiden paketit saattavat sen sisältää.

Lähteet:
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://hackaday.com/2024/03/29/security-alert-potential-ssh-backdoor-via-liblzma/
https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/issues/2

[SuperOscar]

Toisaalta ainakin Debianin bugisähköpostilistalla on oltu huolestuneita siitä, että takaportin tekijä vaikuttaa etsineen hyökkäyssuuntia jo jonkin aikaa. Vaikka tämä nimenomainen haavoittuvuus ei siis olisikaan levinnyt, kuinka varma voi olla siitä, etteikö jotakin olisi ujutettu koodiin jo aiemmin?

[Tomin]

Vaikka tämä nimenomainen haavoittuvuus ei siis olisikaan levinnyt, kuinka varma voi olla siitä, etteikö jotakin olisi ujutettu koodiin jo aiemmin?

Tuo on kyllä hyvä pointti. Ainakin yksi mahdollinen hyvin hienovarainen valmisteleva muutos on tehty vähän aiemmin.

Vähän lisää linkkejä kiinnostuneille:
Xz:n pitkäaikaisen kehittäjän kirjoitus aiheesta: https://tukaani.org/xz-backdoor/
Paljon yksityiskohtia tapahtuneesta, sopii kiinnostuneille: https://boehs.org/node/everything-i-know-about-the-xz-backdoor

[qwertyy]

https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html

Tuo on aika mielenkiintoinen. Onko tuossa ollut tarkoitus vaikuttaa ihan tämän Pavlovin koodiin mutkan kautta?

https://en.wikipedia.org/wiki/XZ_Utils

Joka tapauksessa vaikuttaa, että tuossa on prässätty luovuttamaan tuota projektin ylläpitoa muille. Jotenkin hyökkää tuo

As I have hinted in earlier emails, Jia Tan may have a bigger role in
the project in the future. He has been helping a lot off-list and is
practically a co-maintainer already. :-) I know that not much has
happened in the git repository yet but things happen in small steps. In
any case some change in maintainership is already in progress at least
for XZ Utils.

--
Lasse Collin

[Tomin]

Akamailla on aika hyvä yleiskatsaus tähän haavoittuvuuteen:
https://www.akamai.com/blog/security-research/critical-linux-backdoor-xz-utils-discovered-what-to-know

Joka tapauksessa vaikuttaa, että tuossa on prässätty luovuttamaan tuota projektin ylläpitoa muille.

Näinhän siinä pääsi käymään.

[AimoE]

Olikohan 90-luvulla, kun Emacs-editorin lähdekoodi lukittiin selvittelyä varten, kun joku oli päässyt tekemään vihamielisiä muutoksia. Taisi kestää vuosia ennen kuin selvittely oli ohi ja Emacsn pääsi jälleen lataamaan itselleen.

Kyllä näitä yrittäjiä on taatusti ollut koko ajan.

[Efraiminpoika]

Oliko kyseessä klassinen valeidentiteetti, joka ympärille luotiin kärsivällisellä social engineeringillä luottamus: https://www.wired.com/story/jia-tan-xz-backdoor/
Oliko XZ Backdoor ainoa kohde?
"Paranoidi minäni" kysyy: onko vastaavaa tekeillä tai tehty muuallakin?
"Savolais minäni" vastaa: suattaapi olla että on, vuan suattaapi olla, että ei ookkaan
Tuleeko näitä lisää?
Varmasti.

[AimoE]

Yksi lukemisen arvoinen "back to basics" -tyyppinen artikkeli on Running the “Reflections on Trusting Trust” Compiler[/].