15 подписчиков

CVE-2024-3094: Бекдор в поставке xz 5.6.0-5.6.1.

Случилось неприятное - с конца февраля в репозитарий разработчика xz - The Tukaani Project - добавили неплохо обфусцированный бекдор, который немного протек в пакеты основных дистрибутивов Linux.

Бекдор нашел Andres Freund, обратив внимание на странное поведение ssh в своем Debian sid дистре, и ошибки в тестах, за что ему большое спасибо.

Сам бекдор затейливый, составной - засунули в git сборку макрос, который при определенных условиях модифицирует $builddir/src/liblzma/Makefile, далее вытаскивает пейлоад частями из нескольких бинарных блобов, подсунутых заранее как архивы для тестов, внедряется в сборку, и в итоге обеспечивает себе старт на скомпрометированной системе.

Бекдора и реверса пока нет, но по предварительным данным он как-то влияет на ssh, позволяя атакующему зайти на ваш хост в обход аутентификации.

Пока подтверждено попадание кода в Debian sid, Fedora 41/Fedora rawhide, Kali, OpenSUSE.

Подробно:

👉 https://www.openwall.com/lists/oss-security/2024/03/29/4

👉 https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Около минуты

1 апреля 2024