|
Re: backdoor בחבילת xz אשר מוביל לפרצה ב-ssh (ניקוד: 0) ע"י פינגווין אנונימי ב 01/04/2024 - 12:15
כמה השגות שלי מהעניין:
* הקומיט הראשון שלו ב 2021 לפרוייקט libarchive היה הוספת חולשה אפשרית:
https://github.com/libarchive/libarchive/pull/1609
* כדי להשתלט על הפרוייקט XZ היו דרושים הנדסת אנוש (נוצרו חשבונות מזויפים כדי להאיץ במתחזק הקיים להחליף אותו במישהו אחר) והכנה מוקדמת (תיקונים שנשלחו)
* התמדה מעל שנתיים של תכנון הדלת האחורית - ייתכן ומדובר בגוף/קבוצה ולא אדם יחיד.
* כתובת IP (משרתי IRC) היא מסינגפור, אך כנראה פרוקסי.
* בקוד ישנן רק שלוש שורות ללא שימוש - הערות בסקריפט שלא באמת דרושות. (השורה השניה מכילה תווים סינים) להלן:
####Hello####
#��Z�.hj�
####World####
* הפורמט של XZ תומך בטריליונים של אלגוריתמים אך שימוש של רק אחד - lzma2, ויתכן שאפילו מאפשר הרצת קוד:
https://www.cisecurity.org/advisory/a-vulnerability-in-xz-utils-could-allow-for-remote-code-execution_2024-033
https://www.nongnu.org/lzip/xz_inadequate.html
|
|
|
|