Алюминиевый разработчик мог спасти пользователей Linux от множества проблем

379

Инженер компании Microsoft Андрес Фройнд обнаружил вредоносный код в xz Utils, которые уже были встроены в версии 5.6.0 и 5.6.1. Подозрения в том, что это может быть акт государственного характера, возникли из-за того, что код был внедрен в течение длительного периода времени.

Андрес Фройнд написал в пятницу: “После обнаружения нескольких странных симптомов вокруг liblzma (часть пакета xz) на установках Debian sid за последние несколько недель (входы с ssh, потребляющие много CPU, ошибки valgrind), я нашел ответ: репозиторий xz и tar-архивы xz были поддвержены”.

Оказалось, что подставленный код был распространен только в рамках потока Tumbleweed проекта OpenSUSE. Разработчики этого проекта написали в пятницу: “Для наших пользователей openSUSE Tumbleweed, где SSH открыт в Интернете, рекомендуется установить новую версию, так как неизвестно, воспользовался ли бэкдором кто-то другой”.

Fedora выпустила патченные версии xz Utils для своих тестовых, экспериментальных и нестабильных потоков разработки. Red Hat сообщил в пятницу: “Пользователи Fedora Linux 40 могли получить версию 5.6.0, в зависимости от момента обновления системы. В настоящее время считается, что вредоносный код не сработал в этих сборках. Однако пользователям Fedora Linux 40 все равно рекомендуется вернуться к версии 5.4 для безопасности”.

Вероятно, успокоение будет длить еще долго; бывший старший разработчик Debian Джои Хесс указал на более 700 коммитов, сделанных подозрительным аккаунтом за последние два года.

Подозреваемый, по-видимому, также предлагал помощь вне списка рассылки, возможно, в попытке завоевать доверие других разработчиков и избежать подозрений. Длительные обсуждения на эту тему ведутся на различных форумах и ресурсах.
Оригинальная новость на сайте