Site categories All
#xz
Хто нещодавно оновлювався перевірте.

У популярній утиліті для стискання xz, що широко використовується в більшості дистрибутивів Linux, був виявлений прихований бекдор. Цей шкідливий код, впроваджений у пакет утиліти, створює критичну загрозу для ланцюга поставок, що потенційно дозволяє зловмисникам отримати несанкціонований доступ до служб SSH.

Програміст із Microsoft Andres Freund виявив бекдор і повідомив про нього в компанію Openwall, яка займається безпекою Linux, у п'ятницю вранці. Шкідливі .m4 файли, додані до архівів xz версії 5.6.0, випущеної 24 лютого, містили інструкції automake для складання бібліотеки стиснення liblzma, що модифікують її функції для несанкціонованого доступу.

Ці зміни в liblzma можуть призвести до компрометації sshd через те, що багато дистрибутивів Linux включають libsystemd. Цей компонент, що відповідає за активацію повідомлень systemd, ґрунтується на liblzma, що робить його критичним елементом у структурі OpenSSH.