Avancerad bakdörr i xz/liblzma

En bakdörr har identifierats i projektet xz/liblzma. Vad vi vet än så länge så påverkar bakdörren sshd på Linux-baserade operativsystem. Några intressanta saker i historien som jag uppmärksammat är att antagonisten har jobbat metodiskt under flera år för att föra in bakdörren, samt så är bakdörren bra skriven. Den injiceras när koden byggs som jag kan utläsa det och finnes i xz-versionerna 5.6.0 och 5.6.1

En annan intressant del är hur den upptäcktes, det var via prestandaproblem som den kunde identifieras. Bakdörren har fått CVE-2024-3094 med en CVSS på 10.

Det kan även finnas fler bakdörrar i koden eftersom det github-alias som införde bakdörren även genomfört 750 andra ändringar i xz/liblzma-projektet.

Bakdörren upptäcktes av Andres Freund och även amerikanska CISA har gått ut med en advisory.

Just de versioner av xz med bakdörrar verkar finnas i Fedora Linux 40 (vissa) samt Fedora Rawhide. Debian Unstable och Kali Linux är också drabbade. Samt så har Red Hat Enterprise Linux ej denna version. Meddelande från Kali:

The impact of this vulnerability affected Kali between March 26th to March 29th

För att se om du använder en version som är sårbar kan följande oneliner användas. Obs, undvik att köra själva xz-binären:

for xz_p in $(type -a xz | awk '{print $NF}' | uniq); do strings "$xz_p" | grep "xz (XZ Utils)" || echo "No match found for $xz_p"; done

Nedan återfinnes mer information:

• FAQ
• Andreas orginalinlägg
• 750 st commits av nicket som la in bakdörren

Uppdatering: Innehöll felaktigt att Kali och Debian Unstable ej var påverkade.