Vor etwas mehr als 2 Monaten, Wir teilen hier auf dem Blog den Fallbericht zur Hintertür im XZ-Dienstprogramm. Im selben Beitrag teilte ich auch meine Meinung mit, in der ich erwähnte und noch erwähnen werde, dass dieser Fall noch lange Gegenstand der Diskussion sein wird „Es ist eines der besten Beispiele für angewandtes Social Engineering.“
auch Damals haben wir einige zusätzliche Beiträge geteilt, wo die verschiedenen in dem Fall ergriffenen Maßnahmen zusammengestellt wurden, sowie wie die Situation möglich war und wird lange Zeit unbemerkt bleiben.
Jetzt Der Autor und ursprüngliche Betreuer des xz-Projekts, Lasse Collin, kündigte die Veröffentlichung der neuen Korrekturversionen an von XZ Utils 5.2.13, 5.4.7 und 5.6.2. Diese Versionen entfernen Komponenten-Hintertüren und andere verdächtige Änderungen, die zuvor von Jia Tan akzeptiert wurden.
Neben der Veröffentlichung von Korrekturversionen Lasse Collin hat außerdem einen Überprüfungsbericht zum Git-Repository veröffentlicht, einschließlich der vorgenommenen Änderungen seit Dezember 2022, während dieser Zeit war Jia Tan der Betreuer des Projekts. Der Bericht beschreibt detailliert die Änderungen, die auf der einzelnen Commit-Ebene analysiert wurden, und erwähnt, dass die Commits im Repository zwar nicht digital signiert waren, aber keine Anzeichen einer Manipulation durch die Committer gefunden wurden. Insgesamt wurden acht böswillige Commits aus dem Repository entfernt.
Y obwohl es einige Änderungen gab, die vermutet wurden der Einführung böswilliger Änderungen ab 2023, aber wir können feststellen, dass der Bericht dies detailliert beschreibt Die ersten Änderungen zur Einführung der Hintertür datieren auf Anfang 2024, wo Jia Tan bereits mehr Aktivitäten im Zusammenhang mit der Einführung der Hintertür in XZ hatte.
Diese komprimierten Dateien wurden von Jia Tan erstellt und signiert. Sie wurden überprüft und enthalten keine schädlichen Inhalte.
HINWEIS
Die Tags v5.2.11 und v5.4.2 im Git-Repository wurden von Jia Tan signiert, aber die TAR-Dateien wurden von mir erstellt und signiert.
Mit den folgenden Ausnahmen stimmen Dateien im Git-Repository mit TAR-Dateien überein:.po-Dateien werden im Rahmen von make mydist (oder make dist) aktualisiert.
ChangeLog ist eine in TAR-Archiven generierte Datei.
Jede Version ist in mehr als einem Komprimierungsformat verfügbar. Die .tar-Dekomprimierung ist für alle Komprimierungsformate jeder Version gleich.
Die Dateilisten in den ZIP-Dateien sind gut. Beispielsweise erscheint dieselbe Datei nicht mehr als einmal.
PDF-Dateien lassen sich nur schwer reproduzieren, da sie einen Zeitstempel enthalten und außerdem von der Version der verwendeten Tools abhängig sind. Allerdings sehen PDF-Dateien normal aus und auch ihre Dateigrößen sind normal (sie unterscheiden sich nur um wenige Bytes).
Auch im Bericht Es wird erwähnt, dass es sich um den CRC-Code CLMUL handelt, der bei der Überprüfung mit MSAN falsch positive Ergebnisse generiert (Speicherbereinigung) und Probleme mit OSS Fuzz, es wurde noch nicht aus der Codebasis entfernt. Obwohl geplant ist, diesen Code in Zukunft zu überarbeiten, wurde beschlossen, ihn vorerst nicht zu ändern, um Rückschritte in alten Zweigen zu vermeiden. In alten Commits, die vor den mit der Hintertür verbundenen Änderungen hinzugefügt wurden, wurden keine verdächtigen Änderungen festgestellt. Darüber hinaus wurde die Lokalisierung von PO-Dateien, Metadaten in TAR-Dateien sowie Dateien mit Versionen und Übersetzungen separat überprüft.
Darüber hinaus auch Zu den Änderungen gehören unter anderem die Aufnahme überfälliger Fehlerbehebungen und die Entfernung der Unterstützung für den IFUNC-Mechanismus in Glibc für indirekte Funktionsaufrufe bereitgestellt, die zum Organisieren des Abfangens von Backdoor-Funktionen verwendet wurde. Es ist wichtig zu beachten, dass die Verwendung von IFUNC den Code nur komplizierter macht und der Leistungsgewinn vernachlässigbar ist. Als Vorsichtsmaßnahme wurden auch das XZ-Logo, PDF-Versionen der Manpages und zwei Tests für die x86- und SPARC-Architekturen, die Objektdateien als Eingabe verarbeiteten, aus dem Quellpaket entfernt.
Da der Verbesserungen, die umgesetzt wurden, wird zum Beispiel gefundenoder im xzdec-Decoder wurde Unterstützung für ABI Version 4 des Isolationsmechanismus hinzugefügt von Landlock-Anwendungen. Darüber hinaus wurde den Autotools-Build-Skripten die Option „–enable-doxygen“ und dem Cmake-Skript der Parameter ENABLE_DOXYGEN hinzugefügt, um Dokumentation für die liblzma-API mithilfe von Doxygen zu generieren und zu installieren. Zuvor erstellte Dokumentationen wurden ebenfalls aus dem Paket entfernt, um Größe und Komplexität zu verringern.
schließlich, wenn Sie sind daran interessiert, mehr darüber zu erfahren, Die Details der Veröffentlichung können Sie im einsehen folgenden Link