LINUX.ORG.RU
ФорумSecurity

Бэкдор в xz/liblzma

 , , ,


1

0

Ъ: https://openwall.com/lists/oss-security/2024/03/29/4

Не хочу писать перевод в новости, лучше почитать в оригинале про то как бэкдор попадает в код, как казалось бы liblzma влияет на ssh и как он через линкер подменяет функции openssl.

musl-based дистрам можно выдохнуть, более-менее старым тоже, так как бэкдор появился относительно недавно (?)



Последнее исправление: a1ba (всего исправлений: 1)

Показаны ответы на комментарий. Показать все комментарии.
Ответ на: комментарий от Gonzo

Подозреваю речь идёт о sd_notify(), который реализован в libsystemd. А libsystemd в свою очередь зависит от liblzma.

Кстати о sd_notify(). Для него совершенно не обязательно линковаться с libsystemd. У него примитивный протокол, достаточно открыть UNIX сокет и кинуть в него строчку, всё по документации из мануала самого sd_notify().

a1ba
() автор топика
Последнее исправление: a1ba (всего исправлений: 1)
Ответ на: комментарий от Gonzo

Это зависит от того прилинковали ли sshd к libsystemd.

libsystemd не требует наличия systemd, несмотря на название. Как и протокол sd_notify() реализован не только systemd, но даже топорным start-stop-daemon.

Я бы не грешил на systemd, это просто один из возможных путей линковки liblzma. Его потенциально может притянуть и libselinux через libpam.

a1ba
() автор топика
Последнее исправление: a1ba (всего исправлений: 1)
Ответ на: комментарий от a1ba

Для него совершенно не обязательно линковаться с libsystemd

Велосипеды изобретать же нехорошо, не так ли? Или пост-фактум это уже «другое»? В общем расскажи подробнее, как так получилось. То куча народу рассказывает про «нужны либы», а потом в удобный момент звучит уже «нужны не либы».

jsforever
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.
Security