Versie 5.6.2 van compressietool xz met verwijderde achterdeur is uit

De ontwikkelaar van xz heeft versie 5.6.2 van de compressietool uitgebracht. Dat is de eerste grote release sinds maart, toen er een achterdeur in de veelgebruikte software werd ontdekt. In versie 5.6.2 is die backdoor definitief verwijderd. Er is ook een nieuwe maintainer voor het project.

Ontwikkelaar Lasse Collin stelt xz en xz-utils 5.6.2 via GitHub beschikbaar. Verder stelt Collin een eerste officiële versie van een speciale pagina met releasenotes voor xz-utils beschikbaar. Die is hij al eerder begonnen, maar de pagina is nu voor het eerst compleet en moet details geven over wat er precies wordt aangepast aan de tool.

Xz en xz-utils 5.6.2 zijn de eerste officiële releases van de veelgebruikte compressietool sinds eind maart. Toen werd er een achterdeur ontdekt in versies 5.6.0 en 5.6.1 van de software. Die software wordt standaard in veel Linux-distro's meegeleverd. De achterdeur werd tijdig ontdekt, waardoor een mogelijke grootschalige infectie van systemen werd voorkomen. In de nasleep van de ontdekking kwamen er veel vragen op over de tool; Tweakers schreef er destijds een achtergrondartikel over.

De huidige hoofdontwikkelaar van de opensourcesoftware, Lasse Collin, schrijft in de releasenotes alleen dat de achterdeur nu uit de software is verwijderd. Hij geeft daar verder geen details over. Verder heeft Collin nog enkele bugfixes en toevoegingen aan de tool uitgevoerd.

Collin zegt ook dat er een nieuwe maintainer voor xz is: Sam James. Nadat de achterdeur werd ontdekt, bleek dat die erin was gezet door Jia Tan, een van de twee maintainers van het project. Over Jia Tan is weinig bekend, maar die persoon werkt niet meer aan xz. Tot diens vertrek werkte Collin in zijn eentje aan xz.

Reacties (31)

gwayne 30 mei 2024 12:08

De suggestie is gemaakt dat Jia Tan een groep personen was die voor een regerings organisatie werkte.

https://www.wired.com/story/jia-tan-xz-backdoor/

HollowGamer 30 mei 2024 12:05

Om eerlijk te zijn, ik vind het ontzettend jammer voor de developer, maar ik vertrouw het project niet meer. Ik ken de nieuwe developer niet, zo te zien is het wel weer een maintainer?

Dan kijk ik liever naar iets als zstd of andere compressie libs. En volgens mij zijn de meeste hier ook naar het kijken of al overgestapt.

grizzler @HollowGamer • 30 mei 2024 13:58

Sam James is een bekende naam in de xz-wereld. Hij heeft destijds ook uitgebreid verslag gedaan van de gang van zaken rond de backdoor.
https://github.com/thesamesam
https://gist.github.com/thesamesam

HollowGamer @grizzler • 30 mei 2024 19:18

Ah, dat wist ik niet.

Het probleem is echter dat die commits dus al een hele lang tijd zijn gedaan door die bad-actor.
Er is een audit geweest, en de meeste bin files zijn weg (please haal ze volledig uit de repo), dus wacht nog liever af hoe het precies gaat uitzien.

KirovAir @HollowGamer • 30 mei 2024 12:24

Als je dit project niet vertrouwd moet je geen enkel ander open source project vertrouwen. Niemand is opgewassen tegen zo’n langdurige spionage aanval als deze.
Er zijn maatregelen getroffen en met de schrik van wat er gebeurt is kan ik me voorstellen dat juist dit project extra voorzichtig is.

[Reactie gewijzigd door KirovAir op 23 juli 2024 18:23]

HollowGamer @KirovAir • 30 mei 2024 12:41

Ik heb wel goede redenen om dit project niet meer te vertrouwen.

Zoals gezegd zit hier nog altijd maar één maintainer op, komt de originele developer niet meer echt terug (iemand anders naar voren geschoven), en is nog maar de vraag hoe veilig de repo is. We hebben het hier niet over één maand vervelende commits, maar 2 jaar (mogelijk langer).

Ik ben groot voorstander van opensource, vind dat mensen betaald moeten worden ervoor of worden begeleid als het gebruikt wordt door heel veel bedrijven, maar ik gebruik ook mijn gezond verstand.

Eigenlijk zouden de repo moeten resetten, en elk file opnieuw moeten committen. Er is veel werk gedaan, maar dan nog heb ik repositories/packages verlaten die een hidden backdoor hadden of iets waarmee ze een boodschap de wereld in brengen (zoals kijken naar Russische ips, en dan een script runnen).

Dat was bij een zeer populaire repository, maar niemand die het dus checkte of er pas later achterkwam en mensen hun data (onterecht) verloren.

Als ze dat zouden doen, of het komt onder een paraplu te liggen van een Canonical, Red Hat, SUSE, etc. dan heb ik wel er vertrouwen in. Anders kies ik liever voor betere alternatieven zoals dus zstd.

[Reactie gewijzigd door HollowGamer op 23 juli 2024 18:23]

bdraw @HollowGamer • 30 mei 2024 15:35

Zoals ik het interpreteer (maar je hebt mss meer hier over gelezen) komt er een supporting maintainer (Sam James) bij, maar stopt de originele er niet mee (Lasse Collin). Als ik me niet vergis, krijgt dit project nav van de hack nu wel wat geld voor support. Men zal nu ook wel minder snel minder nieuwe functionaliteit toevoegen, die niet echt nodig is en extra risico met zich meebrengt. En zo groot is dit project wss ook niet. Als er dan ook niet teveel wijzigt: hoeveel maintainers zijn er dan echt nodig?
Ook die dependency in systemd van xz library, die de miserie mogelijk maakte, wordt verwijderd.

[Reactie gewijzigd door bdraw op 23 juli 2024 18:23]

HollowGamer @bdraw • 30 mei 2024 19:14

Dit project is dus wel ontzettend groot. Het wordt veel gebruikt in de Linux wereld voor toepassingen waar compressie en snel een goede combinatie is. Niet alleen package-managers gebruiken xz, ook genoeg andere.

bdraw @HollowGamer • 30 mei 2024 20:12

Met groot bedoel ik de hoeveelheid code, niet hoeveel dat het gebruikt wordt. Als ik git clone en alle lijnen tel: 138k ongeveer.

HollowGamer @bdraw • 30 mei 2024 21:36

Ik bedoelde in gebruik.

Maar het is zeker groot en ook complex.

Maar wil er nu liever over stoppen, heb niets tegen xz, en ook niets tegen developers.

player-x @HollowGamer • 30 mei 2024 19:02

Ik vertrouw meestal (maar zeker niet altijd) software die een hack hebben gehad meer, omdat ze zeker willen zijn, dat het niet weer gebeurd, en ze daarnaast ook nog eens onder een vergrootglas liggen voor een tijd.
En er zijn andere die nog eens controleren of echt alles klopt, om zeker te zijn of de beweringen kloppen dat alles weer in orde is.

HollowGamer @player-x • 30 mei 2024 19:16

Dat vind ik persoonlijk vreemd.

Nadat Manjaro keer-op-keer verkeerd omging met de beveiliging van hun distro, was ik er ook wel snel klaar mee. Of de software gesloten of open is, maakt dan voor mij niet zo heel uit.

Ik wil niet de xz-developer(s) in een slecht daglicht plaatsen. Dit lijkt me een nachtmerrie, zeker als je leest hoe hij zich voelt. Het toont gewoon aan dat veel bedrijven open-source zien als leuk, maar er bar weinig voor teruggeven.

jaapzb @HollowGamer • 30 mei 2024 14:20

Juist bij projecten waar dit soort dingen gevonden worden die zo breed in de media uitgemeten worden kan je er van uit gaan dat ze nog eens heel erg goed met de kam door de code gaan

Dus zeer waarschijnlijk is juist xz de komende tijd een van de veiligste compressietools

MainframeX @HollowGamer • 30 mei 2024 22:05

Er zijn inmiddels zoveel ogen gericht op xz dat je er wel vanuit kan gaan dat de code door tig mensen/bedrijven is gereviewed. Het is een keer mis gegaan, niet fraai, maar moeten we dan al het werk maar gewoon in de vuilnis gooien? Dan kan je net zo goed ook stoppen met OpenSSL en Bash te gebruiken. Daar hebben ook genoeg ronduit bizarre security bugs in gezeten.

HollowGamer @MainframeX • 30 mei 2024 22:09

En dat is dan ook juist wat de meeste doen.

Vergeet niet dat Google een fork heeft gemaakt, en er ook genoeg zijn die dus een andere variant gebruiken.

Ik kan niet iets anders gebruiken. Voor bash gebruik ik al fish, maar OpenSSL zit vrijwel overal in, en het lijkt iets beter. Denk dat de complexiteit en backwards compatibility het enige is dat adoptie van andere forks tegenhoudt.

MainframeX @HollowGamer • 31 mei 2024 00:12

Oh er zijn talloze OpenSSL forks of herimplementaties. Geen van allen zijn ze als main library in gangbare distro's terecht gekomen. Uiteindelijk is er goed kritisch naar OpenSSL gekeken en hele sloot CVE's ontdenkt en gepatched. Ook zijn grote delen van de codebase ingekort of simpelweg verwijderd. Dat is denk ik precies hetgeen dat xz ook staat te gebeuren.

Tijd zal het leren. Ik zou me in ieder geval niet zo druk maken om xz, maar eerder om wat voor ijzers de partij achter Jia Tan nog meer in het vuur heeft liggen. Ik betwijfel dat xz het enige project is dat ze geprobeerd hebben binnen te dringen.

jacobkap 30 mei 2024 12:04

"Nadat de achterdeur werd ontdekt, bleek dat die erin was gezet door Jia Tan, [...]"

Dit suggereert een beetje alsof Jia dit expres heeft gedaan. Is dat ook zo, of is dat een verkeerde aanname?

Christoxz @jacobkap • 30 mei 2024 12:18

Het lijk zeer aanemelijk dat het bewust is gedaan.
deadinspace in '5 vragen over de malware in compressietool xz: was dit een achterdeur?'

Daarnaast is na de ontdekking ook niks meer gehoord van Jia Tan

Snippo @Christoxz • 30 mei 2024 13:36

Die is via de achterdeur vertrokken.

Tjidde 30 mei 2024 12:07

Ik denk het goed is dat dit een keer gebeurd is. En dat het snel gevonden is.

Hopelijk zijn er nu genoeg mensen wakker geschut om niet altijd maar uit te gaan dat een applicatie precies doet wat ze zeggen.

Nu is het bij een opensource tool, waarbij het te valideren is of het in de code zit of in dit geval door een kwaadwillende later is toegevoegd.

Dit zou net zo goed kunnen gebeuren bij closed source applicaties.

Als ik voor mijn werk bepaalde software moet controleren voordat wij het in gebruik nemen, zal ik nu wel extra kijken naar het verkeer. Ook al staat er nergens in de source code dat er communicatie is met het internet.

The Zep Man

Beveiliging en antivirus
Malware

@Tjidde • 30 mei 2024 12:36

Als ik voor mijn werk bepaalde software moet controleren voordat wij het in gebruik nemen, zal ik nu wel extra kijken naar het verkeer. Ook al staat er nergens in de source code dat er communicatie is met het internet.

Zelfs met een backdoor hoef je niet extra verkeer te zien. Deze backdoor zou OpenSSH kwetsbaar maken voor authenticatie via fout sleutelmateriaal. Als die backdoor er is zal je geen gek verkeer zien totdat iemand er eens misbruik van maakt.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:23]

nullbyte @Tjidde • 30 mei 2024 14:27

Cyber security is een gelaagd principe. SSH zou niet direct open moeten staan op een firewall. Poort 22 is zo'n beetje de meest gescande poort op het internet. Die SSH verbinding zou door een VPN tunnel moeten gaan. Dat haalt de angel voor het grootste gedeelte uit de backdoor. Echter, dan nog is het een middel voor priv escalation aangezien er met de backdoor direct root priv verkregen worden. Maar dan moet er al initial access zijn.

crazyboy01 @nullbyte • 30 mei 2024 17:56

Zelfs op een andere random poort kan je inderdaad de bruteforce spam in je SSH-log verwachten. Is natuurlijk afhankelijk van je setup hoe ver ze daarmee komen, maar echt fijn is 't niet.

Een VPN kon het inderdaad afvangen in het specifieke geval van deze backdoor. Maar waar ik dan wel direct aan denk: er kan de volgende keer toch ook gewoon een backdoor worden geschreven om te kloten met specifiek VPN-connecties ipv met SSH? Volgens mij is niets dat een connectie verschaft hier uiteindelijk 100% tegen bestand, helemaal niet aan de kant waar er een poort voor open staat. Of ben ik mis? Uiteraard zit je met VPN-toegang niet zo dik op het systeem als met een SSH-verbinding, maar toch ook net zo min een fijn idee dat er dan iemand in dat vertrouwde netwerk zou kunnen komen.

joker1977 @3raser • 30 mei 2024 12:07

Dat is wat onduidelijk. Er zijn wel wat onderzoekers ingedoken om te achterhalen hoe deze backdoor zo sneaky in xz is geïntroduceerd en daaruit bleek dat de hele "attack" waarschijnlijk meerdere jaren heeft gekost.

De persona Jia Tan heeft eerst nuttige inbreng aan code gedaan, ook bij andere projecten. Er zijn klachten geweest bij Lasse over trage updates en mede daardoor is Jia Tan toegevoegd als maintainer - ook omdat de user al meerdere nuttige inbreng had gedaan. De vraag is of de klachten over trage updates door 1 en dezelfde persoon cq. personen is gedaan om zo meer controle over het project te krijgen.

Best leuk artikel om te lezen hier over op https://www.wired.com/story/jia-tan-xz-backdoor/

TheVivaldi @joker1977 • 30 mei 2024 12:54

En de vraag is ook nog steeds of het wel Jia Tan was. Voor hetzelfde geld is diens account gewoon gehackt en durft degene van wie het gehackt is er niet over te praten, gezien alle media-aandacht en dergelijke.

downtime @TheVivaldi • 30 mei 2024 13:26

Als Jia Tan zijn eigen naam was dan zou hij er graag over praten om zichzelf vrij te pleiten. Stilte loont alleen als het niet zijn eigen naam was.

TheVivaldi @downtime • 30 mei 2024 13:28

Maar het kan best dat je het niet durft. Ik weet ook niet of ik het zou durven. Je weet niet half wat voor een impact zoiets op iemand heeft, zeker niet als de media erbovenop springt.

downtime @3raser • 30 mei 2024 12:05

Klinkt Chinees. Maar wat zegt een alias op internet? 3raser klinkt Amerikaans. Ben je dat ook?

jaapzb @3raser • 30 mei 2024 14:24

Dat maakt niet zo veel uit verder, elk zichzelf respecterende wereldmacht zit diep in de backdoors en zero-days

nullbyte @3raser • 30 mei 2024 14:29

verwijderd

[Reactie gewijzigd door nullbyte op 23 juli 2024 18:23]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (31)

Sorteer op:

Weergave: