Авторът на XZ публикува нови коригиращи версии и доклад за задната врата

Помощна програма XZ Linux

Преди малко повече от 2 месеца, споделяме тук в блога бележката за случая на задната врата в помощната програма XZ, В същия пост споделих и моето мнение, в което споменах и ще споменавам, че този случай ще бъде нещо, за което ще се говори дълго време, т.к. „Това е един от най-добрите примери за приложно социално инженерство.“

също По това време споделихме някои допълнителни публикации, където са събрани различните действия, които са предприети по случая, както и как е възможна ситуацията и ще остане незабелязано дълго време.

задна врата XZ
Свързана статия:
Как е възможно Debian да заобиколи задната врата в XZ? Кратък анализ на случая 

И сега, Авторът и оригиналният поддържащ проекта xz, Lasse Collin, обяви публикуването на новите коригиращи версии от XZ Utils 5.2.13, 5.4.7 и 5.6.2. Тези версии премахват задните врати на компонентите и други подозрителни промени, приети преди това от Jia Tan.

Наред с публикуването на коригиращи версии, Lasse Collin също сподели доклад за преглед на хранилището на Git, включително направените промени от декември 2022 г., през което време Jia Tan беше поддържащ проекта. Докладът описва подробно промените, които са анализирани на ниво индивидуален ангажимент и споменава, че въпреки че ангажиментите в хранилището не са били цифрово подписани, не са открити признаци на манипулация от комитиращите. Общо осем злонамерени ангажименти бяха премахнати от хранилището.

Y въпреки че имаше някои промени, които бяха подозирани на въвеждането на злонамерени промени от 2023 г., но можем да отбележим, че докладът описва това подробно Първите въведени промени за въвеждането на задната врата датират от началото на 2024 г., където Jia Tan вече имаше повече активност, свързана с въвеждането на задната врата в XZ.

Тези компресирани файлове са създадени и подписани от Jia Tan. Те са прегледани и не съдържат злонамерено съдържание.

ЗАБЕЛЕЖКА
Таговете v5.2.11 и v5.4.2 в Git хранилището бяха подписани от Jia Tan, но tar файловете бяха създадени и подписани от мен.
Със следните изключения, файловете в Git хранилището съвпадат с tar файлове:

.po файловете се актуализират като част от make mydist (или make dist)

ChangeLog е файл, генериран в tar архиви.

Всяка версия се предлага в повече от един формат за компресиране. Декомпресията .tar е еднаква за всички формати за компресиране на всяка версия.

Списъците с файлове в zip файловете са добри. Например един и същи файл не се появява повече от веднъж.

PDF файловете са трудни за възпроизвеждане, тъй като съдържат клеймо за време и също зависят от версията на използваните инструменти. PDF файловете обаче изглеждат нормално и техните файлови размери също са нормални (те се различават само с няколко байта).

В доклада също споменава се, че CRC кодът CLMUL, който генерира фалшиви положителни резултати при проверка с MSAN (memory sanitizer) и проблеми с OSS Fuzz, той все още не е премахнат от кодовата база. Въпреки че този код се планира да бъде преработен в бъдеще, засега е решено да не се пипа, за да се избегнат регресии в стари клонове. Не бяха идентифицирани подозрителни промени в стари ангажименти, добавени преди промените, свързани със задната врата. В допълнение, местоположението на po файловете, метаданните в tar файловете и файловете с версии и преводи бяха проверени отделно.

В допълнение към това, също споменати са промени, които включват включването на просрочени корекции на грешки и премахването на поддръжката за механизма IFUNC осигурен в Glibc за индиректни извиквания на функции, който се използва за организиране на прихващане на функция на задната врата. Важно е да се отбележи, че използването на IFUNC само усложнява кода и печалбата в производителността е незначителна. Като предпазна мярка, логото на XZ, PDF версиите на страниците с ръководство и два теста за x86 и SPARC архитектурите, които обработват обектни файлове като вход, също бяха премахнати от изходния пакет.

Относно внедрени подобрения, се намира наприли в декодера xzdec е добавена поддръжка за ABI версия 4 на изолационния механизъм на приложенията на Landlock. Освен това опцията „–enable-doxygen“ беше добавена към скриптовете за изграждане на Autotools и параметърът ENABLE_DOXYGEN беше добавен към скрипта Cmake за генериране и инсталиране на документация за API на liblzma с помощта на Doxygen. Предишно генерираната документация също е премахната от пакета, за да се намалят размерът и сложността.

най-накрая, ако сте се интересувам да научим повече за това, Можете да проверите подробностите за публикацията в следваща връзка.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорник за данните: AB Internet Networks 2008 SL
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.