前几天我们在博客上分享了有关案件的新闻 在 XZ 实用程序中检测到的后门,它在大量 Linux 发行版中使用,因此影响所有发行版。对于包括我自己在内的许多人来说,此案的有趣之处在于如何包含后门以及如何准备性别,或者如何提供有利于引入代码的环境,但它被忽视了。
在 埃文·博斯 (Evan Boehs) 的博客文章 (一名程序员兼黑客),分享了对XZ后门案例的一个小时间顺序分析。出版物中提到 开发者Jia Tan负责引入后门 在XZ包里,自从贾坦 2022年获得维护者身份并开始发布版本 自 XZ 项目 5.4.2 起。除了《XZ》之外,谭嘉 他还为 xz-java 和 xz-embedded 包做出了贡献, 并被公认为 Linux 内核中使用的 XZ Embedded 项目的维护者。
除了贾坦之外, 另外两名用户 Jigar Kumar 和 Hans Jansen 的参与, 许多人认为 显然他们可能是虚拟角色. 吉加尔·库马尔参与其中 在 XZ 上推广 Jia Tan 的第一个补丁 向当时的维护者 Lasse Collin 施压 接受有用的更改并于 2022 年 XNUMX 月实现对字符串过滤器的支持。
2022 年 XNUMX 月,Lasse Collin 放弃了维护者的角色 贾坦承认职业倦怠和心理健康问题。在这些事件之后,Jigar Kumar 不再出现在该项目的邮件列表中。
随着新的状态 维护者的, 贾坦开始积极对XZ项目做出改变 据统计,其变更次数连续两年位居开发商第二位。
2023年XNUMX月,Lasse Collin将oss-fuzz服务中负责测试XZ包的人替换为Jia Tan, 6 月,对 XZ 组成进行了更改,包括支持 liblzma 中的 IFUNC 机制,该机制随后用于组织对后门功能的拦截。此更改的建议来自 Hans Jansen,他的帐户是在提交与这些更改相关的拉取请求之前创建的。
En 2023年XNUMX月,贾坦要求oss-fuzz开发者禁用ifunc检查 由于它与 «-fsanitize=address
«。 2024年XNUMX月,XZ项目网站链接发生变更 在 oss-fuzz 和 tukaani.org 上,从主域转移到子域。最后一个子域托管在 GitHub Pages 上,由贾坦个人控制。
23 月 4 日,测试解码器的文件(包括带有后门的文件)已发布到 .gitignore 文件中。
17 月 XNUMX 日,汉斯·詹森, 之前参与了 IFUNC 支持的补丁, 注册为 Debian 项目的贡献者。 25月XNUMX日,收到更新存储库中 xz-utils 包版本的请求 来自 Debian。值得一提的是,类似的请求来自 Fedora 和 Ubuntu 开发人员(尽管在 Ubuntu 中,由于存储库冻结,更改被拒绝)。
一些用户加入了XZ更新请求, 认为新版本修复了 valgrind 调试期间检测到的错误。这些问题的出现是由于后门控制器中堆栈布局的确定不正确,我们试图在 XZ 5.6.1 版本中解决这些问题。
对这个, 莱塞·科林发表声明 确认包含后门版本的文件是由Jia Tan创建和签名的,此外,他还宣布删除xz.tukaani.org子域,表明xz站点将返回tukaani.org主服务器。他还提到他的 GitHub 帐户被封锁。重要的是要强调这一点 Lasse Collin 仅控制 tukaani.org 网站 和 git.tukaani.org 存储库。另一方面,贾坦仅控制GitHub上的项目和xz.tukaani.org主机,但无权访问tukaani.org服务器。
如果您有兴趣了解更多信息,可以查阅详细信息 以下链接。