Проект XZ опубликовал результат аудита коммитов и первое обновление после выявления бэкдора
Дата публикации:Thu, 30 May 2024 14:18:04 +0300
Лассе Коллин (Lasse Collin), старый сопровождающий проекта xz, в 2022 году передавший права новому сопровождающему Jia Tan, деятельность которого привела к внедрению бэкдора, опубликовал корректирующие выпуски пакета XZ Utils 5.2.13, 5.4.7 и 5.6.2, в которых удалены компоненты бэкдора и прочие подозрительные изменения, добавленные в результате вредоносной деятельности прошлого сопровождающего.
Кроме того, опубликован отчёт о рецензировании Git-репозитория и изменений, добавленных с декабря 2022 года во время нахождения Jia Tan на посту сопровождающего. Изменения разобраны на уровне отдельных коммитов. Коммиты в репозитории не были заверены цифровой подписью, но следов подделки со стороны коммиттеров не выявлено. Всего из репозитория удалено 8 вредоносных коммитов.
Из кодовой базы пока не удалён код CRC CLMUL, приводящий к ложным срабатываниям при проверке в MSAN (Memory sanitizer) и проблемам с OSS Fuzz. В дальнейшем данный код планируют переработать, но пока его решено не трогать, чтобы избежать регрессий в старых ветках.
Подозрительных изменений в старых коммитах, добавленных до внесения изменений, связанных с продвижением бэкдора, не выявлено. Отдельно были проверены po-файлы локализации, метаданные в файлах tar и архивы с релизами и переводами.
Из изменений также отмечается включение накопившихся исправлений ошибок и удаление поддержи механизма IFUNC, предоставляемого вGlibc для косвенного вызова функций, который был задействован для организации перехвата функций в бэкдоре. Отмечено, что использование IFUNC лишь усложняет код, а выигрыш в производительности от него не существенный.
В качестве перестраховки из пакета c исходными текстами также удалены логотип XZ, PDF-версии man-страниц и два теста для архитектур x86 и SPARC, в которых в качестве входных данных обрабатывались объектные файлы.
Из новшеств в декодировщик xzdec добавлена поддержка 4 версии ABI механизма изоляции приложений Landlock. В сборочные скрипты Autotools добавлена опция "--enable-doxygen", а в сценарии Cmake параметр ENABLE_DOXYGEN для генерации и установки документации на API liblzma, используя Doxygen. Уже сгенерированная документация удалена из пакета.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=61275