XZ の作成者が新しい修正バージョンとバックドア事件に関するレポートを公開

Darkcrizt

4分

XZ Linuxユーティリティ

2ヶ月ほど前、 XZ ユーティリティのバックドアのケースノートをこのブログで共有します。 同じ投稿で、私は自分の意見を共有し、この事件は長期間にわたって議論されるものであると述べ、今後も言及する予定です。 「これは応用ソーシャル エンジニアリングの最良の例の 1 つです。」

さらに その際、追加の投稿をいくつか共有しました、この事件で取られたさまざまなアクションがまとめられているだけでなく、 どのようにしてその状況が可能だったのか そして長い間気づかれないままになります。

バックドア XZ
関連記事
Debian はどのようにして XZ のバックドアをバイパスできたのでしょうか?事件の簡単な分析 

そして今、 xz プロジェクトの作者であり元の管理者である Lasse Collin は、新しい修正バージョンの公開を発表しました。 XZ Utils 5.2.13、5.4.7、および 5.6.2 から。これらのバージョンでは、Jia Tan によって以前に受け入れられていたコンポーネントのバックドアやその他の不審な変更が削除されます。

修正版の発行に伴い、 Lasse Collin は、加えられた変更を含む、Git リポジトリに関するレビュー レポートも共有しました。 Jia Tan がプロジェクトの管理者だった 2022 年 XNUMX 月以来。このレポートでは、個々のコミット レベルで分析された変更について詳しく説明しており、リポジトリ内のコミットにはデジタル署名がなかったものの、コミッターによる操作の兆候は見つからなかったと述べています。合計 XNUMX つの悪意のあるコミットがリポジトリから削除されました。

Y 疑わしい変更がいくつかありましたが、 2023 年からの悪意のある変更の導入については言及していませんが、レポートでは次のことが詳しく述べられていることに注意してください。 バックドアの導入のために実装された最初の変更は 2024 年の初めに遡ります。 Jia Tan はすでに XZ でのバックドアの導入に関連する活動を行っていました。

これらの圧縮ファイルは Jia Tan によって作成および署名されており、レビュー済みであり、悪意のあるコンテンツは含まれていません。

NOTE
Git リポジトリ内のタグ v5.2.11 と v5.4.2 は Jia Tan によって署名されていますが、tar ファイルは私が作成して署名しました。
次の例外を除き、Git リポジトリ内のファイルは tar ファイルと一致します。

.po ファイルは、make mydist (または make dist) の一部として更新されます。

ChangeLog は、tar アーカイブで生成されるファイルです。

各バージョンは複数の圧縮形式で利用できます。 .tar の解凍は、各バージョンのすべての圧縮形式で同じです。

zip ファイル内のファイルリストは良好です。たとえば、同じファイルが複数回出現することはありません。

PDF ファイルにはタイムスタンプが含まれており、使用されているツールのバージョンにも依存するため、複製が困難です。ただし、PDF ファイルは正常に見え、ファイル サイズも正常です (違いは数バイトだけです)。

報告書にも、 CRC コード CLMUL は、MSAN でチェックするときに誤検知を生成することが記載されています。 (メモリサニタイザー) と OSS Fuzz の問題があるため、コードベースからはまだ削除されていません。このコードは将来的に修正される予定ですが、今のところ、古いブランチでのリグレッションを避けるために、このコードには触れないことが決定されています。バックドアに関連付けられた変更の前に追加された古いコミットでは、不審な変更は確認されませんでした。さらに、po ファイルのローカリゼーション、tar ファイルのメタデータ、バージョンと翻訳が含まれるファイルが個別に検証されました。

それに加えて、 変更には、期限切れのバグ修正の追加と IFUNC メカニズムのサポートの削除が含まれることが記載されています。 Glibc で間接関数呼び出し用に提供されており、バックドア関数インターセプトを組織するために使用されていました。 IFUNC を使用するとコードが複雑になるだけで、パフォーマンスの向上は無視できることに注意することが重要です。予防措置として、XZ ロゴ、マニュアル ページの PDF バージョン、オブジェクト ファイルを入力として処理する x86 および SPARC アーキテクチャ用の XNUMX つのテストもソース パッケージから削除されました。

として 実装された改善、たとえば、または、xzdec デコーダーに分離メカニズムの ABI バージョン 4 のサポートが追加されました。 Landlock アプリケーションの。さらに、Doxygen を使用して liblzma API のドキュメントを生成およびインストールするために、「-enable-doxygen」オプションが Autotools ビルド スクリプトに追加され、ENABLE_DOXYGEN パラメーターが Cmake スクリプトに追加されました。サイズと複雑さを軽減するために、以前に生成されたドキュメントもパッケージから削除されました。

最後にあなたが それについてもっと知りたい、 出版物の詳細は、 次のリンク。