1711846391
2024-03-31 00:31:21
警告を発した開発者は、おそらく国家の支援を受けた攻撃者によって圧縮ユーティリティに導入されたバックドアが実稼働 Linux システムに配布されるのを阻止したようです。 この悪意のあるコードにより、SSH 認証時のチェックのバイパスが可能になるようです。
xz Utils のバックドアを発見した Microsoft ソフトウェア エンジニアの Andres Freund 氏は、悪意のあるコードはバージョン 5.6.0 と 5.6.1 に導入されたと述べました。 この規定は長期間にわたって密かに密かに伝えられてきたため、国家主導の行為ではないかという疑惑が生じている。
フロイント 書きました 金曜日: 「ここ数週間、Debian SID インストールで liblzma (xz パッケージの一部) に関するいくつかの奇妙な症状 (CPU を大量に消費する SSH でのログイン、valgrind エラー) を観察した後、私は答えを見つけました: アップストリームの xz リポジトリそして、xz tarball はバックドア化されています。
「最初はこれが Debian パッケージの侵害だと思いましたが、アップストリームにあることが分かりました。」
関係する開発者の 1 人は、JiaT75 というハンドル名を持ち、2 年以上にわたってこのパッケージのメンテナを務めていました。 フロイント氏はさらに、「数週間にわたる活動を考慮すると、コミッターが直接関与しているか、システムにかなり深刻な侵害があったかのどちらかです。
「残念ながら、彼らが上記の『修正』についてさまざまなリストでやり取りしていたことを考えると、後者の説明は可能性が低いように思えます。」 彼の言及は、コードの問題を修正するために疑わしい管理者によって提案されたさまざまな追加に関するものでした。 ここ、 ここ、 ここ、 そして ここ。 [Thanks to Dan Goodin for these four links.}
SSH or secure shell is an utility used to log in securely to systems, with the majority of Linux systems using a port known as OpenSSH that is maintained by the OpenBSD project, an Unix clone.
The only production Linux system in which the doctored code was distributed appears to have been the Tumbleweed stream put out by the OpenSUSE project. The developers at that project wrote on Friday: “For our openSUSE Tumbleweed users where SSH is exposed to the Internet, we recommend installing fresh, as it’s unknown if the backdoor has been exploited.
“Due to the sophisticated nature of the backdoor an on-system detection of a breach is likely not possible. Also rotation of any credentials that could have been fetched from the system is highly recommended.
“It has been established that the malicious file introduced into Tumbleweed is not present in SUSE Linux Enterprise and/or Leap. Current research indicates that the backdoor is active in the SSH Daemon, allowing malicious actors to access systems where SSH is exposed to the Internet.”
Debian issued patched versions of xz Utils for its testing, experimental and unstable streams of development. Red Hat said on Friday, “Fedora Linux 40 users may have received version 5.6.0, depending on the timing of system updates. Fedora Rawhide users may have received version 5.6.0 or 5.6.1.”
“At this time the Fedora Linux 40 builds have not been shown to be compromised. We believe the malicious code injection did not take effect in these builds. However, Fedora Linux 40 users should still downgrade to a 5.4 build to be safe.”
Later, Red Hat added: “We have determined that Fedora Linux 40 beta does contain two affected versions of xz libraries – xz-libs-5.6.0-1.fc40.x86_64.rpm and xz-libs-5.6.0-2.fc40.x86_64.rpm. At this time, Fedora 40 Linux does not appear to be affected by the actual malware exploit, but we encourage all Fedora 40 Linux beta users to revert to 5.4.x versions.”
It is likely to be quite some time before calm returns; former senior Debian developer Joey Hess provided one reason, noting that the accounts used by the suspected malicious actors had made more than 700 commits [code contributions] 過去 2 年間で。
Hess は次のように書きました: 「バックドアを仕掛けた Jia Tan による xz へのコミットまたは貢献は少なくとも 750 件数えます。これには、2023 年 1 月 7 日にプル リクエストをマージした後に行われた 700 件のコミットすべてが含まれます。その時点で、彼らはすでに直接のリクエストを行っていたようですプッシュアクセスにより、偽の作成者によるコミットもプッシュできるようになります。おそらく、その時点より前に他の多くのコミットも同様にプッシュできるでしょう。
「バックドアが使用されたバージョンを以前のバージョンに戻すだけでは、Jia Tan が他のバックドアを隠していないことを知るには十分ではありません。バージョン 5.4.5 には、これらのコミットの大部分がまだ含まれています。」
そして彼は次のように付け加えました。「パッケージは、以前のバージョンに戻す必要があります。」 [the bad actors’] コミット 6468f7e41a8e9c611e4ba8d34e2175c5dacdbeb4 から始まった関与。 または初期のコミット [should be] しかし、既知の悪質な攻撃者による任意のコミットは、微妙な変更が見逃されるリスクよりも価値が低いのはほぼ確実です。
「5.3.1 に戻すことをお勧めします。その時点以降にセキュリティ修正があったことを念頭に置いて、再適用する必要があります。」
疑惑をかけられている人物は、他の開発者に取り入って、その申し出の背後にある疑惑が生じた場合にその疑惑を和らげるために、リスト外でも援助を申し出ていたようだ。
予想のとおり、この問題については長い議論が行われてきました。 Linux ウィークリー ニュース 長いスレッドがあります ここ、 その間 ハッカーニュース 2000件以上の投稿がありました [when I last looked] ここ。
#アラート開発者は #Linux #ユーザーの苦痛の世界を救ったかもしれない