نشر مؤلف XZ إصدارات تصحيحية جديدة وتقريرًا عن قضية الباب الخلفي

الأداة المساعدة XZ Linux

منذ ما يزيد قليلاً عن شهرين، نشارك هنا على المدونة ملاحظة حالة الباب الخلفي في الأداة المساعدة XZ، وفي نفس المنشور شاركت أيضًا رأيي الذي ذكرت فيه، وما زلت أذكر، أن هذه القضية ستكون موضوعًا سيتم الحديث عنه لفترة طويلة، نظرًا لأن "إنها واحدة من أفضل الأمثلة على الهندسة الاجتماعية التطبيقية."

أيضا في ذلك الوقت شاركنا بعض المشاركات الإضافيةحيث تم تجميع مختلف الإجراءات التي تم اتخاذها في القضية، وكذلك كيف كان الوضع ممكنا وسوف تمر دون أن يلاحظها أحد لفترة طويلة.

الباب الخلفي XZ
المادة ذات الصلة:
كيف كان من الممكن لديبيان تجاوز الباب الخلفي في XZ؟ تحليل موجز للقضية 

و الآن، أعلن المؤلف والمشرف الأصلي لمشروع xz، Lasse Collin، عن نشر الإصدارات التصحيحية الجديدة من XZ Utils 5.2.13 و5.4.7 و5.6.2. تعمل هذه الإصدارات على إزالة الأبواب الخلفية للمكونات والتغييرات المشبوهة الأخرى التي قبلها جيا تان سابقًا.

بالتزامن مع نشر الإصدارات التصحيحية، شارك Lasse Collin أيضًا تقرير مراجعة حول مستودع Git، بما في ذلك التغييرات التي تم إجراؤها منذ ديسمبر 2022، حيث كان جيا تان هو المشرف على المشروع. يعرض التقرير بالتفصيل التغييرات التي تم تحليلها على مستوى الالتزام الفردي ويشير إلى أنه على الرغم من عدم توقيع الالتزامات في المستودع رقميًا، إلا أنه لم يتم العثور على أي علامات تلاعب من قبل مرتكبي الالتزامات. في المجمل، تمت إزالة ثمانية عمليات ارتكاب ضارة من المستودع.

Y على الرغم من وجود بعض التغييرات التي كان يشتبه فيها من إدخال تغييرات ضارة اعتبارًا من عام 2023، ولكن يمكننا أن نلاحظ أن التقرير يوضح ذلك بالتفصيل تعود التغييرات الأولى التي تم تنفيذها لإدخال الباب الخلفي إلى بداية عام 2024، حيث كان لدى جيا تان بالفعل المزيد من النشاط المتعلق بإدخال الباب الخلفي في XZ.

تم إنشاء هذه الملفات المضغوطة وتوقيعها بواسطة Jia Tan، وقد تمت مراجعتها ولا تحتوي على محتوى ضار.

ملاحظة
تم التوقيع على العلامتين v5.2.11 وv5.4.2 في مستودع Git بواسطة Jia Tan، ولكن تم إنشاء ملفات tar وتوقيعها بواسطتي.
مع الاستثناءات التالية، تتطابق الملفات الموجودة في مستودع Git مع ملفات tar:

يتم تحديث ملفات .po كجزء من make mydist(أو make dist)

ChangeLog هو ملف تم إنشاؤه في أرشيفات القطران.

كل إصدار متوفر بأكثر من تنسيق ضغط. إن إلغاء الضغط .tar هو نفسه بالنسبة لكافة تنسيقات الضغط لكل إصدار.

قوائم الملفات في الملفات المضغوطة جيدة. على سبيل المثال، لا يظهر نفس الملف أكثر من مرة.

يصعب إعادة إنتاج ملفات PDF لأنها تحتوي على طابع زمني وتعتمد أيضًا على إصدار الأدوات المستخدمة. ومع ذلك، تبدو ملفات PDF عادية وأحجام ملفاتها عادية أيضًا (تختلف ببضعة بايت فقط).

وفي التقرير أيضاً يُذكر أن رمز CRC CLMUL، والذي يولد نتائج إيجابية خاطئة عند التحقق من MSAN (مطهر الذاكرة) ومشكلات OSS Fuzz، لم تتم إزالتها بعد من قاعدة التعليمات البرمجية. على الرغم من التخطيط لإعادة صياغة هذا الرمز في المستقبل، فقد تقرر حاليًا عدم لمسه لتجنب التراجعات في الفروع القديمة. لم يتم تحديد أي تغييرات مشبوهة في الالتزامات القديمة التي تمت إضافتها قبل التغييرات المرتبطة بالباب الخلفي. بالإضافة إلى ذلك، تم التحقق من موقع ملفات po والبيانات الوصفية في ملفات tar والملفات ذات الإصدارات والترجمات بشكل منفصل.

بالإضافة إلى ذلك أيضًا تم ذكر التغييرات لتشمل تضمين إصلاحات الأخطاء المتأخرة وإزالة الدعم لآلية IFUNC تم توفيره في Glibc لاستدعاءات الوظائف غير المباشرة، والتي تم استخدامها لتنظيم اعتراض وظائف الباب الخلفي. من المهم ملاحظة أن استخدام IFUNC يؤدي فقط إلى تعقيد التعليمات البرمجية وأن مكاسب الأداء ضئيلة. كإجراء احترازي، تمت أيضًا إزالة شعار XZ وإصدارات PDF لصفحات الدليل واختبارين لبنيتي x86 وSPARC، اللذين قاما بمعالجة ملفات الكائنات كمدخلات، من الحزمة المصدر.

أما بالنسبة لل التحسينات التي تم تنفيذها، موجود على سبيل المثالأو في وحدة فك ترميز xzdec تمت إضافة دعم لإصدار ABI 4 من آلية العزل من تطبيقات Landlock. بالإضافة إلى ذلك، تمت إضافة خيار "-enable-doxygen" إلى البرامج النصية لبناء Autotools وتمت إضافة المعلمة ENABLE_DOXYGEN إلى البرنامج النصي Cmake لإنشاء وتثبيت الوثائق الخاصة بواجهة برمجة التطبيقات liblzma باستخدام Doxygen. تمت أيضًا إزالة الوثائق التي تم إنشاؤها مسبقًا من الحزمة لتقليل الحجم والتعقيد.

أخيرًا إذا كنت كذلك مهتم بمعرفة المزيد عنها ، يمكنك التحقق من تفاصيل المنشور في الرابط التالي.


اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: AB Internet Networks 2008 SL
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.