Fa poc més de 2 mesos, compartim aquí al bloc la nota del cas del backdoor en la utilitat XZ, en aquesta mateixa publicació també vaig compartir la meva opinió en la qual esmentava, i encara esmentaré, que aquest cas serà una cosa del que es parlarà durant molt de temps, ja que "és un dels millors exemples d'enginyeria social aplicada".
També al seu moment compartim algunes publicacions addicionals, on es va realitzar la recopilació de les diverses accions que van ser preses en el cas, així com també el com va ser possible la situació i passés desapercebuda durant molt de temps.
I ara, l'autor i mantenidor original del projecte xz, Lasse Collin, va donar a conèixer la publicació de les noves versions correctives de XZ Utils 5.2.13, 5.4.7 i 5.6.2. Aquestes versions eliminen les portes del darrere dels components i altres canvis sospitosos prèviament acceptats per Jia Tan.
Al costat de la publicació de les versions correctives, Lasse Collin també va compartir un informe de revisió al repositori de Git, incloent els canvis realitzats des de desembre de 2022 temps en què Jia Tan va estar com a mantenidor del projecte. A l'informe es detallen els canvis que s'han analitzat a nivell de confirmacions individuals i s'esmenta que encara que les confirmacions al repositori no estaven signades digitalment, no es van trobar signes de manipulació per part dels confirmadors. En total, es van eliminar del repositori vuit confirmacions malicioses.
Y encara que hi havia alguns canvis dels quals se sospitava de la introducció de canvis maliciosos des del 2023, però podem notar que a l'informe es detalla que els primers canvis implementats per a la introducció del backdoor daten des d'inicis d'aquest 2024, on Jia Tan ja tenia més activitat relacionada amb la introducció del backdoor a XZ.
Aquests arxius comprimits van ser creats i signats per Jia Tan. Aquests han estat revisats i no contenen contingut maliciós.
NOTA
Les etiquetes v5.2.11i v5.4.2el repositori de Git van ser signats per Jia Tan, però els arxius tar van ser creats i signats per mi.
Amb les excepcions següents, els fitxers al dipòsit de Git coincideixen amb els fitxers tar:els fitxers .po s'actualitzen com a part de make mydist(o make dist)
ChangeLog és un fitxer generat als fitxers tar.
Cada versió està disponible amb més d'un format de compressió. El descomprimit .tar és el mateix per a tots els formats de compressió de cada versió.
Les llistes de fitxers als fitxers comprimits són bones. Per exemple, el mateix fitxer no apareix més d'una vegada.
Els fitxers PDF són difícils de reproduir ja que contenen una marca de temps i també depenen de la versió de les eines que s'utilitzen. No obstant això, els fitxers PDF semblen normals i les seves mides del fitxer també són normals (només difereixen en uns pocs bytes).
A l'informe, també s'esmenta que el codi CRC CLMUL, que genera falsos positius en verificar amb MSAN (sanititzador de memòria) i problemes amb OSS Fuzz, encara no s'ha eliminat de la base del codi. Tot i que es planeja reelaborar aquest codi en el futur, ara com ara s'ha decidit no tocar-lo per evitar regressions en branques antigues. No es van identificar canvis sospitosos a confirmacions antigues agregades abans dels canvis associats amb la porta del darrere. A més, es van verificar per separat la localització de fitxers po, metadades en fitxers tar i fitxers amb versions i traduccions.
A més d'això, també s'esmenta que els canvis inclouen la inclusió de correccions d'errors endarrerits i l'eliminació del suport pel mecanisme IFUNC proporcionat a Glibc per a trucades de funcions indirectes, que s'utilitzava per organitzar la intercepció de funcions a la porta del darrere. És important destacar que l'ús d'IFUNC només complica el codi i el guany de rendiment és insignificant. Com a mesura de precaució, també es van eliminar del paquet font el logotip de XZ, les versions PDF de les pàgines de manual i dues proves per a les arquitectures x86 i SPARC, que processaven fitxers objecte com a entrada.
Quant a les millores que es van implementar, es troba per exempleo al descodificador xzdec que es va afegir suport per a la versió ABI 4 del mecanisme d'aïllament d'aplicacions Landlock. A més, es va afegir l'opció “–enable-doxygen” als scripts de compilació d'Autotools i el paràmetre ENABLE_DOXYGEN al script Cmake per generar i instal·lar la documentació per a l'API liblzma usant Doxygen. La documentació prèviament generada també s'ha eliminat del paquet per reduir-ne la mida i la complexitat.
Finalment si estàs interessat a poder conèixer més sobre això, pots consultar els detalls de la publicació al següent enllaç.