xz Utilsbylo

[zdislav]

Nedávno bylo objeveno, že xz Utils, široce používaná utilita pro kompresi dat s otevřeným zdrojovým kódem dostupná na většině operačních systémů Linux a Unix, má zákeřná zadní vrátka. Zde je to, co víme o tomto incidentu:

Co je xz Utils?
xz Utils je kritická součást v systémech Linux, která poskytuje bezztrátovou kompresi dat. Používá se pro kompresi a dekompresi dat během různých operací.
Podporuje také starší formát .lzma, takže je ještě důležitější.
Objev zadních vrátek:
Vývojář jménem Andres Freund odstraňoval problémy s výkonem na systému Debian související s přihlašováním SSH (používaným pro vzdálený přístup).
Všiml si, že problémy byly způsobeny aktualizacemi xz Utils.
Pečlivým zkoumáním Freund zjistil, že tyto aktualizace byly záměrně zasazeny jako zadní vrátka do komprimačního softwaru.
Složitost a záměr:
Zadní vrátka byla výsledkem sociálního inženýrství a složitého designu.
Vědci se domnívají, že útočníci strávili na tomto projektu roky.
Backdoor byl těsně před začleněním do Debianu a Red Hatu, dvou hlavních linuxových distribucí, než byl odhalen.
Tento útok na dodavatelský řetězec byl popsán jako jeden z nejlépe provedených a noční můra.
Jak Backdoor funguje:
Škodlivý kód byl přidán do xz Utils verze 5.6.0 a 5.6.1.
Kód upravil chování softwaru během operací komprese nebo dekomprese lzma.
Když tyto operace zahrnovaly SSH, zadní vrátka umožnila spuštění libovolného kódu s právy root.
Tento incident zdůrazňuje křehkost dodavatelských řetězců softwaru s otevřeným zdrojovým kódem a důležitost obezřetných bezpečnostních postupů. Naštěstí byla zadní vrátka odhalena dříve, než došlo k rozsáhlému poškození

[Ventero1]

Zajimave upozorneni - diky.

[menom]

.

Kompromitovane baliky boli v Debian testing, unstable a experimental. Do stabilnych verzii sa to nedostalo, toto len potvrdzuje, ze
softver z otvorenych zdrojov je dobry.

Keby to bol softver s uzavretym zdrojovym kodom, nevedelo by sa o tom a mozno by to bola taka skryta "feature".



.