В XZ Utils обнаружили бэкдор
Недавний баг в Linux меркнет на фоне подоспевших новостей. В XZ Utils версий 5.6.0 и 5.6.1 обнаружили бэкдор под SSH. Об этом сообщаетRedHat и не стесняется в выражениях: «Немедленно вырубайте все инстансы Fedora Rawhide на работе и дома». Капслоком. Знакомьтесь, CVE-2024-3094, 10 из 10.
История пока только разворачивается. Судя по всему, один из мейнтейнеров XZ добавил в него бэкдор под очень нишевые конфигурации и таргетированную атаку по opensshd через systemd и пытался добиться добавления XZ 5.6.x в Fedora 40-41 и не только. Под эту конфигурацию попала свежая Debian Sid, начал лагать SSH, и бэкдор нашли в процессе анализа проблемы. Бэкдор под произвольный код, у мейнтейнера многолетняя история коммитов с версии 5.4.0, и масштабы компрометации пока неизвестны. В общем, запасайтесь попкорном, выходные будут яркими. Здесь в комментариях подборка постов по основным дистрибутивам. А здесь подробный таймлайн по кроту-мейнтейнеру с 2021-го.