/g/ - Technologijos ir Žaidimai

CVE-2024-3094 - open-source bibliotekos "XZ-Utils" aptikta spraga, veikianti kaip SSH autentifikacijos bypass'as bei (kaip vėliau išsiaiškinta) pilno sistemos mąsto RCE spraga, kurią implementavo vienas iš projekto maintainer'ių, pradėjęs vystyti projektą beveik prieš du metus, kartu su keliais kitais abejotinos reputacijos asmenimis. Dėl spragos vystymo mąsto, ilgio ir žmonių kiekio, manoma kad tai valstybės finansuotas aktorius. XZ įrankiai yra plačiai naudojami Linux ekosistemoje ir distribucijose dėl liblzma kompresavimo ir dekompresavimo implementacijos. Pakeitimai buvo supushinti tiesiai į tarball'ų releasus, vietoje viešiai prieinamos versijavimo repozitorijos, todėl laisvai praėjo pro developerių akis.

Spragą aptiko vienas MS autistas Andres Freund, pastebėjęs, jog po softo atnaujinimo jo SSH autentifikacija turėjo ~500ms lag'o. Jam pavyko nutracint keistus programos trikdžius į XZ paketą ir vėliau atrasti pačią spragą.

>TLDR Microsofto sojukui užkliuvo, kad jo SSH loginas veikia puse sekundės ilgiau nei turėtų ir atrado potencialiai didžiausio istorijoje mąsto Linux ekosistemos spragą, leidžiančią aukos sistemoje leisti bet kokias instrukcijas.

Panašu ((jie)) kasa tunelius ne tik po Niujorko sinagogom bet ir jūsų kompiuteryje