Debian はどのようにして XZ のバックドアをバイパスできたのでしょうか?事件の簡単な分析 

Darkcrizt

4分

バックドア XZ

バックドア XZ

以前、私たちはこのブログで次の事件に関するニュースを共有しました。 XZユーティリティで検出されたバックドア、これは多数の Linux ディストリビューションで使用されているため、すべての Linux ディストリビューションに影響します。私を含む多くの人にとって、この事件で興味深いのは、バックドアの組み込みとジェンダーがどのように準備されたか、またはコードの導入に有利な状況が与えられていたにもかかわらず、それが無視されたという点です。

Evan Boehs によるブログ投稿 (プログラマー兼ハッカー)は、XZ のバックドア事件の簡単な時系列分析を共有しました。出版物では次のように述べられています 開発者の Jia Tan がバックドアの導入を担当 Jia Tan以来、XZパッケージに含まれています 2022 年にメンテナーステータスを取得し、バージョンのリリースを開始 XZ プロジェクトの 5.4.2 以降。 Jia Tan は XZ の開発に加えて、 彼は xz-java および xz-embedded パッケージにも貢献しました。 そして、Linux カーネルで使用される XZ Embedded プロジェクトのメンテナとして認められました。

ジア・タンに加えて、 さらに 2 人のユーザー、Jigar Kumar と Hans Jansen が参加 多くの人が想定しているのは どうやら彼らは仮想キャラクターである可能性があります. ジガール・クマールも関与していた Jia Tan の XZ での最初のパッチの宣伝において 当時のメンテナンス担当者ラッセ・コリンに圧力をかける 有用な変更を受け入れ、2022 年 XNUMX 月に文字列フィルターのサポートを実装します。

2022 年 XNUMX 月、Lasse Collin はメンテナの役割を放棄しました Jia Tan に、燃え尽き症候群とメンタルヘルスの問題を認めた。これらの出来事の後、ジガー・クマールはプロジェクトのメーリングリストに登場しなくなりました。

新しいステータスで メンテナーの、 Jia Tan は XZ プロジェクトに積極的に変更を加え始めました 統計によると、2 年間の変更数では開発者の中で 2 位にランクされています。

2023 年 XNUMX 月に、Lasse Collin は、oss-fuzz サービスの XZ パッケージのテスト責任者を Jia Tan に置き換えました。 そして 6 月には、liblzma の IFUNC メカニズムのサポートを含む、XZ 構成の変更が実装されました。これは、バックドアでの機能の遮断を組織するために使用されました。この変更の提案は Hans Jansen から来ました。彼のアカウントは、これらの変更に関連するプル リクエストを送信する直前に作成されました。

En 2023 年 XNUMX 月、Jia Tan は oss-fuzz 開発者に ifunc チェックを無効にするよう要請しました « との互換性がないため-fsanitize=address" 2024年XNUMX月、XZプロジェクトWebサイトへのリンクを変更しました oss-fuzz と tukaani.org で、メイン ドメインからサブドメインに移動します。この最後のサブドメインは GitHub Pages でホストされており、Jia Tan によって個人的に管理されていました。

23 月 4 日、バックドアを含むファイルを含むデコーダーをテストするためのファイルが に公開されましたが、それらは .gitignore ファイルに含まれていました。

17月XNUMX日、ハンス・ヤンセンは、 以前は IFUNC サポートを使用したパッチに携わっていましたが、 Debian プロジェクトのコントリビューターとして登録されました。 25月XNUMX日、リポジトリ内の xz-utils パッケージのバージョンを更新するリクエストを受け取りました デビアンから。同様のリクエストが Fedora と Ubuntu の開発者からも寄せられたことは言及する価値があります (ただし、Ubuntu ではリポジトリの凍結により変更が拒否されました)。

数人のユーザーが XZ 更新リクエストに参加しました。 新しいバージョンでは、valgrind でのデバッグ中に検出されたエラーが修正されたと主張しています。これらの問題は、XZ 5.6.1 リリースで解決しようとした、バックドア コントローラーでのスタック レイアウトの誤った決定が原因で発生しました。

これについて、 ラッセ・コリン氏が声明を発表 バックドア バージョンを含むファイルが Jia Tan によって作成および署名されたことを確認し、さらに、xz.tukaani.org サブドメインの削除を発表し、xz サイトがメインの tukaani.org サーバーに戻ることを示しました。彼はまた、GitHub アカウントがブロックされたことにも言及しました。それを強調することが重要です ラッセ・コリンはtukaani.orgウェブサイトのみを管理できる そして git.tukaani.org リポジトリ。一方、Jia Tan は GitHub 上のプロジェクトと xz.tukaani.org ホストのみを制御していましたが、tukaani.org サーバーにはアクセスできませんでした。

さらに詳しく知りたい場合は、次のサイトで詳細を参照できます。 次のリンク。