xz Utils: potenciálisan katasztrofális ellátási lánc támadás

Egy Microsoft-fejlesztő hátsó ajtót fedezett fel az xz Utils-ban, egy Linux rendszerekben széles körben használt adattömörítő eszközben, ami riadalmat keltett a sérülékenységgel együtt járó potenciálisan súlyos biztonsági rés miatt. Ezt a hátsó ajtót úgy tervezték, hogy az SSH-kapcsolatokat módosítsa, lehetővé téve az illetéktelen távoli kódfuttatást, aminek hatalmas biztonsági következményei lehettek volna a Debian és Red Hat disztribúciók esetében.

A hátsó ajtó mögött álló bonyolult terv több éves tervezést foglalt magában, beleértve gyanús commitokat és manipulációkat, hogy felgyorsítsák a kompromittált frissítések integrálását a mainstream disztribúciókba. A felfedezés szerencsésnek bizonyult, és megakadályozta, hogy egy jelentős, világszerte számtalan rendszert érintő ellátási láncot érintő támadás induljon meg.

A kutatók és fejlesztők elemezték a hátsó ajtót, feltárva annak összetettségét és potenciális károkozását. Ez rávilágít a szoftverellátási láncok folyamatos kockázataira, és hangsúlyozza, hogy a nyílt forráskódú projektek és frissítéseik kezelése során is éberségre és a jól bevált biztonsági gyakorlatok alkalmazására van szükség.

(forrás)

(forrás)