Линуховоды. Грустную новость / дырость я Вам принес. Бэкдор в SSH (Компьютеры)

написал NоlZz©, Москва, 2024-03-31, 12:34 (236 дней назад)

Весь Линух такой.

написал Edward, 2024-03-31, 22:40 (236 дней назад) @ NоlZz©

читала в FB вроде пишут только в новых нескольких ветках потому что вредный

написал zerocoolka ⌂, 2024-04-01, 00:28 (236 дней назад) @ Edward

и занудный чувак обнаружив что оно подтормаживает - начал разбираться и нашел раньше чем оно расплодилось

--
Морская свинка на выпасе

интересно, узнает ли общественность,

написал F1, 2024-04-01, 04:22 (235 дней назад) @ zerocoolka

кто бэкдор в релиз внедрил.

по-моему уже узнали. в статье об этом вроде было

написал zerocoolka ⌂, 2024-04-01, 04:44 (235 дней назад) @ F1

В мире компьютерной безопасности сегодня интересный день. Точнее, он начался вчера вечером, когда немецкий разработчик Андрес Фройнд опубликовал отчет о тайной лазейке (бэкдор), которую он обнаружил в новых версиях широко используемой библиотеки для сжатия liblzma (часть архиватора xz). Лазейка позволяет взломщикам заходить через SSH на системы, в которых установлены эти новые версии - к счастью, похоже, что это всего несколько дистрибутивов Линукса в их до-релизовых версиях.
Всех очень впечатлило, насколько эта лазейка была сделана хитро, и как взломщик или взломщики серьезно поработали над тем, чтобы замести следы:
- взломщик под именем/псевдонимом Jia Tan почти два года (!) участвовал в разработке опенсорсного пакета xz, завоевал доверие его мейнтейнеров и получил доступ к прямому коммиту в его репозиторий. Он сделал больше 700 коммитов, лишь малая часть которых медленно подготовила код для лазейки
- основной код лазейки спрятан в тестовых файлах проекта (примеры "плохих" и "хороших" архивов)
- исходный код, который включает лазейку в собственно библиотеку, вообще не является частью основного репозитория в Github. Он спрятан в тар-архивах двух последних релизов, которые обычно используются мейнтейнерами дистрибутивов. То есть есть таг релиза, есть архив, якобы собранный из репозитория в момент этого тага, но на самом деле в нем есть крохотная добавка; в самом репозитории ее нет
- эта добавка прячется в конфигурационной магии autoconf, которую все ненавидят лютой ненавистью и никто никогда не заглядывает внутрь
- она проверяет, когда исходники конфигурируют именно для постройки дебиан-пакета или RPM-пакета (т.е. то, что будут делать мейтейнеры дистрибутивов), и только в этом случае вынимает из тестовых файлов определенные куски и добавляет в код библиотеки
- внутри библиотеки код лазейки заменяет несколько функций, которые работают с символьными таблицами библиотек во время их подгружения. Затрачены специальные усилия, чтобы имена функций не появлялись в двоичном коде. Что именно дальше делает код лазейки, до конца еще не ясно, но он обрабатывает сам символьные таблицы библиотек, и видимо находит то, что имеет отношение к SSH серверу, и что-то там заменяет. Это еще проверяют сейчас.
- интересно, что openssh, стандартный SSH-сервер под линуксом, не использует библиотеку liblzma, в которую вставили эту лазейку, но несколько популярных дистрибутивов добавляют в него поддержку уведомлений системы, systemd, а библиотека libsystemd уже в свою очередь использует liblzma.
- после того, как вышли версии библиотеки с ошибкой, несколько разных людей с незамеченными до того именами (очевидно, альты взломщика или сообщники) стали открывать запросы в разных программах и пакетах сделать апгрейд на эти новые версии, и в некоторых случаях преуспели
Взломщик допустил только одну ошибку: код лазейки, когда он работает как часть openssh, довольно медленно обрабатывает эти символьные таблицы, или что он еще там делает, и даже неудачная попытка логина на такую систему занимает на полсекунды дольше, чем обычно. Андрес Фройнд заметил эти полсекунды задержки. Они его раздражали. Он решил найти, какой новый баг к этому приводит, и нашел эту лазейку.
Если бы все происходило быстро и не было задержки в полсекунды, очень может быть, что это не заметили бы месяцы и годы, и этот код попал бы в основные дистрибутивы, в версии Линукса, которые запускаются у основных облачных провайдеров итд. Они реально очень, ОЧЕНЬ хорошо замели следы.
Теперь все думают, что надо было/надо теперь делать по-другому, и как обнаружить следующую лазейку такого типа - или предыдущую, если она уже есть и никто не знает! - не опираясь на удачу и героическую занудливость Андреса Фройнда.

цитата.

--
Морская свинка на выпасе

Тот же Зорин конкретно тормозит относительно просто обычной сборки.

написал Эльбrus @, 2024-04-01, 06:32 (235 дней назад) @ zerocoolka

и не в лотерею, а в преферанс

написал lvm, 2024-04-01, 12:51 (235 дней назад) @ NоlZz©

бэкдор не в ssh, а в xz, который (liblzma5) используется в openssh, и который, еще очень мало куда успел попасть

да - точно - но лучше перебдеть

написал NоlZz©, Москва, 2024-04-02, 10:02 (234 дней назад) @ lvm