Este un atac tintit, a fost planuit de cel putin cateva luni, si cu motiv specific. Asta nu e o situatie shellshock si heartbleed, este o situatie de backdoor intentionat.
Atacatorul Jia Tan (anonim, nu cred ca e pe bune asiatic) a castigat increderea maintanerului vechi, si i-a fost predata stafeta acum 2 ani. Initial (noile) teste pentru versiunea XZ 5.6 au rezultat in erori de compilare cu pgo: https://bugs.gentoo.org/925415 Ulterior pur coincidal, a rezultat cu un bug fix direct in GCC: https://gcc.gnu.org/bugzilla/show_bug.cgi?id=114115 In acel moment daca cineva ar fi verificat veridicitatea testelor la nivel de pre-build din xz, atunci cu siguranta s-ar fi descoperit exact in acel moment (24.02.2024). Momentan pachetele xz 5.6+ construite in toate distributiile, sunt bineinteles 'infectate'. Problema e alta. Acest nou maintainer XZ, Jia Tan, e maintainer de 2 ani pe XZ. Si de aici intervine discutia reala: de la momentul in care a devenit maintainer, in ce putem avea incredere? Aici e un timeline orientativ despre atacatori: https://boehs.org/node/everything-i-know-about-the-xz-backdoor Aici e raportul initiativei de observare: https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27 In acest moment, Jia Tan bineinteles ca a disparut. Insa, a reaparut maintainerul vechi Lasse Collin Raport pe main site: https://tukaani.org/xz-backdoor/ Personal recomand revert la tot ce era inainte de prima venire a maintainerului malitios. Adica pre-5.4.x, sau cat era de la momentul primului commit a lui Jia Tan. On Sat, Mar 30, 2024 at 10:00 PM Mihai Badici via RLUG <rlug@lists.lug.ro> wrote: > Oricum pare a fi mai degrabă un atac țintit, o să vedem când o să se mai > uite cei vizați prin log-uri. > > Era oarecum de așteptat că la un moment dat cineva se va sesiza deci > putea acționa pe un interval relativ limitat de timp... > > On 3/30/24 21:46, Mihai Badici via RLUG wrote: > > CVE-2024-3094 > > > > "While OpenSSH is not directly linked to the liblzma library, it does > > communicate with systemd in such a way that exposes it to the malware > > due to systemd linking to liblzma" > > > > On 3/30/24 21:40, Petru Rațiu via RLUG wrote: > >> Oricata boala am pe systemd, hate-ul cu el in cazul asta e usor gratuit, > >> liblzma e linkat de o gramada de chestii. > >> > >> Also, commitul original vad ca nu mai e, dar vazusem ca era pe la > >> sfarsitul > >> lui februarie, n-a prea avut timp sa ajunga prea departe decat pe la > >> cine > >> sta pe bleeding edge. La nivel de distro-uri majore inteleg ca doar > >> Fedora > >> Rawhide si Debian Unstable au avut problema. > >> > >> Also, if anything, mi se pare o confirmare f. buna a teoriei cu "many > >> eyeballs", a fost prins la aproximativ o luna dupa infiltrare pentru ca > >> cineva a detectat o diferenta perceptibila in performanta. Inca n-am > >> vazut > >> nici un write-up cu ce voia sa faca de fapt. > >> > > > > _______________________________________________ > > RLUG mailing list > > RLUG@lists.lug.ro > > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > > _______________________________________________ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > -- Project Argent Linux. Project Rogentos Group Founder. http://rogentos.ro _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
