XZ Utils полностью очищен от бэкдора китайских хакеров

Ровно два месяца назад киберпространство содрогнулось от выпуска срочного предупреждения, касающегося вредоносного кода в XZ Utils, который оказался бэкдором, добавленным злоумышленником под псевдонимом Цзя Тан. Предположительно китайский хакер, или даже целая группа хакеров, сумела расположить к себе пользователей и стать со-разработчиком проекта.

Лишь спустя два месяца ведущий разработчик XZ Лассе Коллин наконец выпустил версию XZ 5.6.2 с полностью удалённым бэкдором.

XZ Utils — это кроссплатформенный набор программ для сжатия данных. Они используются преимущественно в Linux для уменьшения размера файлов, что помогает экономить место на диске и ускорять передачу данных по сети. Основным компонентом XZ Utils является библиотека liblzma, которая обеспечивает алгоритм сжатия данных LZMA.

Уязвимость CVE-2024-3094, которая присутствовала в предыдущих версиях 5.6 и 5.6.1., была полностью устранена в свежем релизе. Тем временем, расследование ситуации с бэкдором продолжается, а все желающие могут следить за обновлениями на специальной странице XZ.

Также Лассе Коллин сообщил, что злополучного Цзя Тана в роли поддерживающего разработчика XZ заменит Сэм Джеймс.

Помимо удаления бэкдора , в XZ 5.6.2 были исправлены несколько багов, добавлена поддержка компилятора NVIDIA HPC SDK и убрана поддержка GNU Indirect Function (IFUNC). IFUNC использовался в бэкдоре, но его удаление было обусловлено тем, что его преимущества для производительности были незначительными, а сложность кода существенно возрастала.

Кроме XZ 5.6.2 также были выпущены версии XZ 5.4.7 и XZ 5.2.13, содержащие различные исправления ошибок. Однако только версия XZ 5.6 была подвержена проблеме с внедрённым бэкдором.