Az XZ szerzője új javító verziókat és jelentést tett közzé a hátsó ajtó esetéről

XZ Linux segédprogram

Kicsit több mint 2 hónapja, megosztjuk itt a blogon az XZ segédprogram hátsó ajtójának esetjegyzetét, Ugyanebben a bejegyzésben megosztottam a véleményemet is, amelyben megemlítettem és megemlítem, hogy ez az eset olyan dolog lesz, amiről még sokáig szó lesz, hiszen "Ez az alkalmazott social engineering egyik legjobb példája."

is Ekkor megosztottunk néhány további bejegyzést, ahol összegyűjtötték az ügyben végrehajtott különféle intézkedéseket, valamint hogyan lehetséges a helyzet és sokáig észrevétlen marad.

hátsó ajtó XZ
Kapcsolódó cikk:
Hogyan tudta a Debian megkerülni a hátsó ajtót XZ-ben? Az eset rövid elemzése 

És most, Az xz projekt szerzője és eredeti fenntartója, Lasse Collin bejelentette az új javító verziók megjelenését az XZ Utils 5.2.13, 5.4.7 és 5.6.2 verzióitól. Ezek a verziók eltávolítják a komponensek hátsó ajtóit és más gyanús változtatásokat, amelyeket a Jia Tan korábban elfogadott.

A javító változatok közzétételével együtt Lasse Collin egy áttekintési jelentést is megosztott a Git tárhelyről, beleértve a változtatásokat is 2022 decembere óta, ezalatt Jia Tan volt a projekt fenntartója. A jelentés részletezi az egyéni commit szintjén elemzett változtatásokat, és megemlíti, hogy bár a tárolóban lévő commitokat nem írták alá digitálisan, nem találtak a committerek manipulációjára utaló jeleket. Összesen nyolc rosszindulatú commitot távolítottak el az adattárból.

Y bár volt néhány sejthető változás a rosszindulatú változtatások 2023-tól történő bevezetéséről, de megjegyezhetjük, hogy a jelentés ezt részletezi A hátsó ajtó bevezetése érdekében végrehajtott első változtatások 2024 elejére nyúlnak vissza, ahol Jia Tannak már több tevékenysége volt a hátsó ajtó bevezetésével kapcsolatban az XZ-ben.

Ezeket a tömörített fájlokat Jia Tan készítette és írta alá. Ezeket felülvizsgálták, és nem tartalmaznak rosszindulatú tartalmat.

MEGJEGYZÉS
A Git adattárban lévő v5.2.11 és v5.4.2 címkéket Jia Tan írta alá, de a tar fájlokat én hoztam létre és írtam alá.
A következő kivételektől eltekintve a Git lerakatban lévő fájlok egyeznek a tar fájlokkal:

A .po fájlok a make mydist(vagy make dist) részeként frissülnek

A ChangeLog egy tar archívumokban generált fájl.

Mindegyik verzió több tömörítési formátumban is elérhető. A .tar kitömörítés az egyes verziók összes tömörítési formátumánál azonos.

A zip fájlokban lévő fájllisták jók. Például ugyanaz a fájl nem jelenik meg többször.

A PDF-fájlokat nehéz reprodukálni, mivel időbélyeget tartalmaznak, és a használt eszközök verziójától is függenek. A PDF-fájlok azonban normálisnak tűnnek, és a fájlméretük is normális (csak néhány bájttal térnek el).

A jelentésben is megemlítik, hogy a CLMUL CRC kód, amely hamis pozitív eredményt generál az MSAN-nal végzett ellenőrzés során (memóriafertőtlenítő) és az OSS Fuzz-szal kapcsolatos problémák, még nem távolították el a kódbázisból. Bár ezt a kódot a jövőben tervezik átdolgozni, egyelőre úgy döntöttek, hogy nem nyúlunk hozzá, hogy elkerüljük a regressziót a régi ágakban. A hátsó ajtóhoz kapcsolódó módosítások előtt hozzáadott régi véglegesítésekben nem észleltek gyanús változásokat. Ezenkívül külön ellenőrizték a po fájlok helyét, a tar fájlokban lévő metaadatokat, valamint a verziókat és fordításokat tartalmazó fájlokat.

Ezen kívül még a változtatások között szerepel a késedelmes hibajavítások felvétele és az IFUNC mechanizmus támogatásának megszüntetése a Glibc-ben biztosított az indirekt függvényhívásokhoz, amelyet a hátsó ajtó funkcióinak megszervezésére használtak. Fontos megjegyezni, hogy az IFUNC használata csak bonyolítja a kódot, és a teljesítménynövekedés elhanyagolható. Elővigyázatosságból az XZ logót, a kézikönyvoldalak PDF-változatait, valamint az objektumfájlokat bemenetként feldolgozó x86 és SPARC architektúrák két tesztjét is eltávolították a forráscsomagból.

Mivel a végrehajtott fejlesztések, megtalálható példáulvagy az xzdec dekóderben hozzáadott támogatás az elkülönítési mechanizmus ABI 4-es verziójához a Landlock alkalmazásokhoz. Ezenkívül az „–enable-doxygen” opció hozzáadásra került az Autotools összeállítási parancsfájljaihoz, és az ENABLE_DOXYGEN paraméter hozzáadásra került a Cmake parancsfájlhoz, hogy a Doxygen használatával létrehozza és telepítse a liblzma API dokumentációját. A méret és a bonyolultság csökkentése érdekében a korábban elkészített dokumentációt is eltávolítottuk a csomagból.

végre, ha az vagy szeretne többet megtudni róla, A kiadvány részleteit a következő link.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: AB Internet Networks 2008 SL
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.