広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響 | ソフトアンテナ

Red HatやDebianを含むLinuxディストリビューションで広く使用されている圧縮ツール「xz」の最新版に悪意のあるバックドアが含まれていた事がわかりました(Ars Technica)。 発見した開発者のAndres Freund氏は、xz version 5.6.0と5.6.1に悪意のあるコードが含まれていることが分かったと指摘しています。幸い、このバージョンは主要なLinuxディストリビューションの製品リリースでは使用されていませんが、Fedora 40やFedora Rawhide、Debian testing/unstable/experimentalなどのベータ版リリースには含まれていたそうです。 macOSのHomebrewでは、複数のアプリがxz 5.6.1に依存している事が判明し、現在xz 5.4.6へのロールバックが行われています。 悪意のある変更は難読化され、バ

[tmatsuu]

自分の手元のhomebrewでも5.6.1→5.4.6のダウングレードがきていることを確認。brew upgradeで適用できる。

[puhu208n]

「本来必要ないライブラリのテストデータと称するバックドアがsshdから呼び出された時だけ発動して認証を通す」というガチのバックドアなので国家的関与か?と言われている / それにつけてもsystemdは滅ぼされねばならない

[ot2sy39]

最初から狙って参加し信用勝ち取ったのか、信用勝ち取りつつある開発者が国等から強制されたのか、どっちだろう。中国人が国の指示で断れなかったのなら、中国人開発者はコミュニティに入れられないよな。

[strawberryhunter]

https://github.com/JiaT75 この人？Jia Tanという名前は中国人のようだ。

[spark7]

だいぶ意図的なものみたいね。バージョンアップでexploitの修正までしてるよう。 https://www.openwall.com/lists/oss-security/2024/03/29/4　SECURITY.md編集してて皮肉ぽくてわろた。https://archive.is/ogmcy

[m10i]

ひえっ　CVSSv3スコア10 広まる前に気づいたのが幸い

[fujihiro0]

検査するスクリプト https://www.openwall.com/lists/oss-security/2024/03/29/4

[petronius7]

難読化してあるし、コードも隠してあるとか、悪意の塊で、普通の狙われるかもね、というセキュリティホールでなく、これ使いますよ！と宣言されてるようなもの。

[rryu]

xz-utilに含まれるiblzma .soに悪意あるコードが仕込まれており、これにリンクしているアプリケーションが脆弱になるらしい。つまりインストールされているだけでやばいということか。

[hunglysheep1]

こういうのGithubにpushされた段階で検知できると良いよね、まぁそこまでGithubの仕事じゃない、といわれればそうだが…/最近、Githubでセキュリティホールのチェックのサービスが出てきてるので思った

[ostchanman]

https://piyolog.hatenadiary.jp/entry/2024/04/01/035321 地獄への道は善意で舗装されている？・。・？

[mas-higa]

一応アカウント乗っ取られた説もあるの?

[deep_one]

見たことないが裏で使われてるのか？

[arajin]

“圧縮ツール「xz」の最新版に悪意のあるバックドアが含まれていた事がわかりました”

[rgfx]

んー足掛け3年で信用を勝ち取って、じゃなくもともと趣味で3年やってるところに中共の関係者がが別口で「やれ」とねじ込んできたのかもわからんよ

[monegen]

ネット上で性善説は厳しいのかもしれない

[getcha]

OSSが共通で抱えるリスク。

[maangie]

挿入されたコードに何らかのバグがあるようで、特定の状況下で sshd の CPU 使用率が急増するために発覚したそうな。 https://x.com/blankwonder/status/1773921956615877110

[otation]

長く参画してる人さえ疑わなければいけないなんて辛すぎる

[agricola]

なんてこったい

[vcc]

悪意のある変更は難読化され、バックドアの一部はtarballにのみ含まれるなど巧妙な手法で導入されています。

[burnworks]

まじか

[tsubaron]

どういう経緯で気づいたんやろ？ 気づかれずに残ってるやつ結構ありそう。、

[snare_micchan]

ぎゃああHomebrewひっかかるのかよ。過去バージョンも再チェックあるだろうしMacで開発してる人影響大きそう

[tettekete37564]

中国籍な時点で中共にスパイ強要されるからな。海外に居ても親族が人質にされるんだろうし

[stamprally]

中国人の関わったソフトウェアそのものが使用禁止になるべきなんだよ。国の命令でいつでもこういうことになるんだから。

[IGA-OS]

大きな組織が関わってるかな

[aqi2501]

Fashionアプリxzクローゼットの話ではないので悪しからず

[lbtmplz]

途中で買収されたとしたらいくら位だろう…。バックが国だったら個人の買収など造作もないのかな…

[nekoline]

こわい、確認しないと

[hatebu_admin]

3年掛かりで信頼を得てさも無害なバイナリを置いて攻撃コードはコンパイル時に挿入、元々のxzメンテナがネットから不在になる癖があることも狙われた一因かも、と実に高度で洗練された攻撃で強いね

[btron]

こういうことする奴がいるとOSS全般に迷惑かけるよね。中国人開発者を締め出す（で、回避して潜り込む奴が出てくる）とか余計なことに力が裂かれるとかどちらにせよ迷惑よね。

[georgew]

また中国が背後？ homebrewで急ぎダウングレードしといたが依存関係があって完全に除去できないのか...

[petitbang]

バグから偶然発見されたのね、怖いなー。/liblzma→libsystemd→sshdという依存関係なのでmacOSにhomebrew経由でxz入っててもそこまで影響はなさそう？他の攻撃コードがあれば別だけど。

[revert]

この問題でTiDBに致命傷を与えそう

[dollarss]

わーお、おっかねぇ…xzみたいなのはいつも最新化すべきと思っているからこういうのは本当に怖い。fedoraもそうだけど開発版はやっぱり恐ろしいな

[unmarshal]

"Luckily xz 5.6.0 and 5.6.1 have not yet widely been integrated by linux distributions" まだ広く普及してない事が幸い。sshdなのでサーバーは確認必須、個人のMacのリスクはほぼ無さそう/ homebrewの対応 -> https://github.com/orgs/Homebrew/discussions/5243

[buhoho]

多くの目をかいくぐられるとヤバい

[urtz]

そんなことあるんだ…中国ならやりかねない。中国の露骨な情報窃盗法や諜報活動は世界中で警戒されて久しい