Debian, Ubuntu, Fedora и прочие дистрибутивы Linux чуть не получили очень опасный бэкдор.
Посредством ПО xz Utils.
Операционная система Linux славится своей достаточно высокой защищённостью. Однако, как оказалось, Linux стояла на пороге огромнейшей проблемы с уязвимостью, которую хотели внедрить в систему весьма хитроумным способом.
Проблему совсем случайно обнаружил исследователь Microsoft Андрес Фройнд (Andres Freund). Он проводил рутинное микротестирование, когда заметил небольшую задержку в 500 мс в процессах ssh. Кроме того, процессы использовали необъяснимо много ресурсов CPU. Дальнейшие исследования позволили обнаружить вредоносный бэкдор в инструменте сжатия, который проник в широко используемые дистрибутивы Linux, в том числе Red Hat и Debian.
Речь о довольно известной в этих кругах программе xz Utils, которая существует уже около 15 лет. В версиях 5.6.0 и 5.6.1 ПО содержит вредоносный код. Суть в том, что xz Utils представляет собой приложение для сжатия данных для Unix-подобных операционных систем и Windows, и многие популярные дистрибутивы, включая Debian и Ubuntu, Fedora, Slackware, Arch Linux, включают в себя xz Utils. То есть бэкдор в xz Utils автоматически означает уязвимость миллионов ПК, работающих под управлением вышеуказанных дистрибутивов.
К счастью, проблему обнаружили раньше, чем она успела попасть в финальные выпуски для основных дистрибутивов Linux, но как Red Hat, так и Debian сообщили, что недавно опубликованные бета-версии использовали по крайней мере одну из версий с бэкдором. Red Hat выявила уязвимые пакеты в Fedora 41 и Fedora Rawhide и посоветовала пользователям прекратить использование до тех пор, пока не будет доступно обновление, хотя Red Hat Enterprise Linux (RHEL) остается незатронутым.
Сооснователь Cal.com написал в социальной сети X следующее:
Старший аналитик Analygence Уилл Дорманн (Will Dormann) заявил, что «если бы это не было обнаружено, это было бы катастрофой для мира».
как с разъяснением подробностей о самом бэкдоре, так и с разбором того, кто может за всем этим стоять.
Предположительно, разработчик xz Utils отношения к ситуации не имеет, а злоумышленникам якобы пришлось два года втираться в доверие сообществу открытого программного обеспечения, чтобы получить права мейнтейнера и внедрить нужный код.
