Tags:
Node Thumbnail

Andres Freund นักพัฒนาจากไมโครซอฟท์รายงานถึงโค้ดของโครงการ xz โปรแกรมบีบอัดที่ได้รับความนิยมกว้างขวาง แต่มีสัปดาห์ที่ออกมามีเวอร์ชั่นใหม่ 5.6.0 และ 5.6.1 ที่มีพฤติกรรมแปลกๆ เมื่อสอบสวนเพิ่มเติมกลับพบว่าโค้ดเหล่านี้ถูกใส่เพิ่มเข้ามาในสคริปต์ build จาก tarball โดยไม่มีโค้ดใน repository จริง

จากการสอบสวนเพิ่มเติม พบว่าแม้ตัวโค้ดเองจะไม่ได้ทำงานผิดปกติอะไรเมื่อไลบรารี liblzma ถูกเรียกจาก OpenSSH ไลบรารีจะพยายามแทรกฟังก์ชั่นเข้าไปแทนฟังก์ชั่นถอดรหัสกุญแจ RSA ใน OpenSSH แม้จะยังไม่มีข้อมูลเต็มรูปแบบว่าโค้ดพยายามทำอะไร แต่ก็แสดงเจตนาว่านักพัฒนาพยายามแทรกโค้ดเพื่อเจาะระบบ secure shell

Richard WM Jones นักพัฒนาจาก Red Hat ออกมาระบุว่านักพัฒนา xz พยายามผลักดันโค้ดเวอร์ชั่นใหม่นี้เข้าไปยัง Fedora 40 ให้ได้ แต่ล่าช้าเพราะติดการทดสอบหน่วยความจำจากโปรแกรม Valgrind ซึ่งเป็นผลจากโค้ดที่พยายามสร้างช่องโหว่นั่นเอง ตัว Andres ก็ระบุว่าโค้ดที่ถูกแทรกเข้ามาอาจจะมาจากตัวนักพัฒนาเองหรือไม่ก็เครื่องของนักพัฒนาถูกแฮก แต่ดูจากแนวทางการสื่อสารแล้วดูน่าสงสัยว่าตัวนักพัฒนาจะตั้งใจมากกว่า

นักพัฒนาของ xz ที่พยายามผลักดันเวอร์ชั่นนี้คือ JiaT75 เขามีส่วนร่วมในโครงการ xz มานานถึงสองปี ตอนนี้บัญชีของทุกคนในโครงการ xz ถูก GitHub แบนไปแล้ว

xz เวอร์ชั่นที่ได้รับผลกระทบยังมีการใช้งานไม่กว้างนัก เช่น Fedora Rawhide ที่เป็นเวอร์ชั่นพัฒนา ส่วนทางด้าน Debian นั้น เพิ่งรวมแพ็กเกจเข้ามาในเวอร์ชั่นทดสอบไม่กี่วันเท่านั้น แต่ตอนนี้ทีมงาน Debian ก็กำลังถอดโค้ดทั้งหมดของ JiaT75 ออกทั้งหมดโดยย้อนไปถึงเวอร์ชั่น 5.4.5

ที่มา - Red Hat, OpenWall

No Description

Get latest news from Blognone

Comments

By: McKay
ContributorAndroidWindowsIn Love
on 30 March 2024 - 17:56 #1309003
McKay's picture

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: btoy
ContributorAndroidWindows
on 30 March 2024 - 21:18 #1309011
btoy's picture

อะไรกันเนี่ย


..: เรื่อยไป

By: sMaliHug on 30 March 2024 - 21:37 #1309012

โห..ดีนะMs เข้ามามีส่วนร่วมหลายๆอย่าง

By: Priesdelly
ContributorAndroidWindows
on 30 March 2024 - 23:10 #1309017
Priesdelly's picture

WTH

By: VirtualPrivateUser on 31 March 2024 - 08:25 #1309024

ใครใช้ Fedora เป็น OS หลัก น่าจะเป็นเป้าหมายในการโจมตี คิดว่ามูฟนี้คงเป็นส่วนหนึ่งในสงครามจารกรรมทรัพย์สินทางปัญญา ลงทุนแฝงตัวขนาดนี้ก็น่าจะเป็นคนจาก Intelligent Communities แหละ

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 31 March 2024 - 08:30 #1309025 Reply to:1309024
Ford AntiTrust's picture

ไม่ใช่เรื่องจารกรรมทรัพย์สินทางปัญญาครับ

มันเป็นการสร้าง backdoor เพื่อหวังผลสูงกว่านั้นมาก ระดับยึดเครื่อง เข้าถึงระบบระดับสูงในองค์กทุกระดับ และการเอา code ตัวนี้เข้า Fedora นั่นหมายถึงมันจะเข้าไปอยู่ใน RHEL ซึ่งหวังผลอนาคต เพราะ RHEL เป็น Distro ที่นิยมใช้ในระดับองค์กร(จ่ายเงินใช้)

By: tontan
ContributorAndroidSymbianUbuntu
on 31 March 2024 - 15:11 #1309042
tontan's picture

ใน GitHub เริ่มมีการสอบสวนเหมือน Windows 11 อาจได้ผลกระทบจาก JiaT75 ไปด้วยจากไลบารี Libarchive ที่ทำให้ Windows 11 เปิดไฟล์ tar.xz ได้ด้วย

ส่วน Lasse Collin ที่ดูแลXZ Utils ออกประกาศสั้น ๆ https://tukaani.org/xz-backdoor/


บล็อก: wannaphong.com และ Python 3

By: N Pack on 3 April 2024 - 08:53 #1309223
N Pack's picture

รับงานมาแน่ๆ 😂