[Перевод] Можно ли было обнаружить бэкдор XZ при более продуманной работе с пакетами в Git и Debian?

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

[Перевод] Можно ли было обнаружить бэкдор XZ при более продуманной работе с пакетами в Git и Debian?

23.10.2025 07:37:36 | Хабр

Хабы: Информационная безопасность, Linux, Open source, Git

Обнаружение бэкдора в XZ Utils весной 2024 года поразило опенсорс-сообщество и подняло серьёзные вопросы о безопасности цепочки поставок ПО. В этом посте мы изучим, могло ли улучшение практик работы с пакетами Debian помочь в выявлении этой угрозы, приведём руководство по аудиту пакетов и предложим улучшения на будущее.

Бэкдор XZ в версиях 5.6.0/5.6.1 быстро попал во многие крупные дистрибутивы Linux наподобие Debian и Fedora, но, к счастью, не добрался до многих реальных пользователей, потому что благодаря героическому усердию Андреса Фройнда релизы с бэкдором были быстро удалены. Нам крайне повезло, что мы выявили регрессию производительности SSH в полсекунды, уделили время её трассировке, обнаружили зловредный код в загружаемой SSH библиотеке XZ и быстро сообщили о нём различным командам безопасников для принятия быстрых координированных мер защиты.

Этот эпизод заставил разработчиков ПО задаться следующими вопросами:

• Почему ни один из упаковщиков дистрибутивов Linux не заметил ничего странного при импорте новой версии XZ 5.6.0/5.6.1 из апстрима?

• Легко ли проводить аудит современной цепочки поставок в самых популярных дистрибутивах Linux?

• Возможно ли наличие других подобных бэкдоров, которые мы пока не выявили?

Я разработчик Debian Developer, поэтому решил провести аудит пакета xz в Debian, поделиться в этом посте своей методологией и находками, а также предложить способы повышения безопасности цепочки поставок конкретно в Debian.

Стоит отметить, что мы ограничимся только изучением способа импорта ПО дистрибутивом Debian из его апстрима, а также его распространения среди пользователей Debian. При этом мы никак не затронем тему оценки соответствия проекта апстрима best practices по безопасности разработки ПО. В этом посте мы не будем и говорить о том, какие меры следует предпринять на компьютере с Debian, чтобы гарантировать его защиту, потому что таких руководств и так уже много.

Читать далее

Подробнее

Читайте также

[Перевод] Обзор проблем и решений в ризонинговых LLM. Часть 1
23.10.2025 07:32:07 | Хабр

Сделал автополив для себя — теперь для всех
23.10.2025 07:01:21 | Хабр

Готовьтесь, всё подорожает ещё раз
23.10.2025 07:01:20 | Хабр

Провели опрос: «Микросервисы побеждают 4:1, low-code — 5:1». Но почему не всё так однозначно?
23.10.2025 07:00:19 | Хабр

Чему не учат на курсах бизнес-аналитика: почему шаблоны ТЗ мешают работе
23.10.2025 06:35:14 | Хабр

pg_expecto: Аудит производительности инфраструктуры при нагрузочном тестировании СУБД PostgreSQL
23.10.2025 06:08:51 | Хабр

Кому нужны игровые видеокарты NVIDIA с 48 ГБ VRAM и почему их до сих пор нет
23.10.2025 06:06:33 | Хабр

В 7 раз за год снизили стоимость лида российскому производителю мебельной фурнитуры с помощью фида и товарных кампаний
23.10.2025 06:02:01 | Хабр

[Перевод] Неожиданная находка в Kubernetes: постквантовая криптография в кластерах
23.10.2025 05:59:14 | Хабр

По следам ПЛИСового кейс-чемпионата
23.10.2025 05:33:33 | Хабр

Джет квазара NRAO 530 удивил астрофизиков сложностью своего устройства
23.10.2025 05:20:03 | Хабр

Проводники спирального типа
23.10.2025 05:01:24 | Хабр

MITM-атаки: угроза, которая может настигнуть любого человека в самый неподходящий момент
23.10.2025 04:48:03 | Хабр

Нобелевка-2025: премия за «перезагрузку» сна. Почему это важно?
23.10.2025 03:59:53 | Хабр

Генеративный ИИ как штатный инженер техподдержки: настройка, внедрение, реальные ошибки
23.10.2025 01:06:22 | Хабр

Ковальчук заявил о необходимости создания антропоморфных процессоров
23.10.2025 00:58:44 | ferra.ru

Российско-китайский суперкомпьютер начали использовать для изучения материалов
23.10.2025 00:48:56 | ferra.ru

Сетевое хранилище для дома
23.10.2025 00:37:46 | Хабр

В Ярославской области археологи нашли мерянский топор Х века
23.10.2025 00:22:06 | ferra.ru

Саратовские учёные синтезировали новые антибактериальные соединения
22.10.2025 23:50:43 | ferra.ru

В России сделают обучение цифровой безопасности приоритетом в 2026 году
22.10.2025 23:49:17 | ferra.ru

Ростех и ведущие вузы договорились о подготовке инженеров
22.10.2025 23:36:08 | ferra.ru

Casio выпустила часы G-Shock Nano, которые можно носить на пальце
22.10.2025 23:35:00 | ferra.ru

Российские ученые создали компонент для энергоэффективных процессоров
22.10.2025 23:27:48 | ferra.ru

В России продолжат испытания вакцины от РС-вируса
22.10.2025 23:25:03 | ferra.ru

Apex проведёт испытает спутниковый перехватчик для проекта «Золотого Купола» США
22.10.2025 23:15:49 | ferra.ru

В Липецкой области оптимизировали здравоохранение с помощью ИИ
22.10.2025 22:55:14 | ferra.ru

В России создали приложение для защиты слабовидящих от мошенников
22.10.2025 22:48:08 | ferra.ru

В WhatsApp* скоро появятся имена пользователей как в Telegram
22.10.2025 22:45:48 | ferra.ru

Москва перешла на цифровую диагностику рака без использования микроскопов
22.10.2025 22:30:17 | ferra.ru

В «Ножницах» на Windows 11 появилась функция поиска по изображениям в интернете
22.10.2025 22:28:24 | ferra.ru

Льготы для игроделов, «возрастные» уязвимости и лучший друг покупателя
22.10.2025 22:15:12 | it-world

В МВД России рассказали, как отличить бота от живого человека
22.10.2025 22:11:12 | ferra.ru

Найдены 131 расширение для Chrome, что рассылали спам через WhatsApp*
22.10.2025 22:00:49 | ferra.ru

Инсайдеры: Apple сократила производство iPhone Air ради iPhone 17 и 17 Pro
22.10.2025 21:57:23 | ferra.ru

Смотреть все

СТАТЬ АВТОРОМ

НОВОСТИ

Министр спорта обратился к МОК из-за действий Польши против российских пловцов
23.10.2025 15:04:38 | Lenta.ru

Владимир Путин о демографическом вызове
23.10.2025 15:03:48 | РЕН ТВ

В России призвали остановить создание новой госкомпании
23.10.2025 15:03:34 | Lenta.ru

В столице Венгрии начался многотысячный «Марш мира» против военных планов ЕС
23.10.2025 15:01:57 | Lenta.ru

Тело четырехлетней девочки нашли в колодце рядом с презервативом
23.10.2025 15:00:58 | РЕН ТВ

Белый дом анонсировал заявление Трампа
23.10.2025 15:00:34 | РБК

«Срок для частного арт-пространства очень серьезный» // Дмитрий Буткевич — о юбилее Галеев-Галереи
23.10.2025 15:00:21 | Коммерсантъ

Хакеры уничтожили чертежи украинских беспилотников
23.10.2025 15:00:00 | Lenta.ru

Путин: Голикова "всю плешь проела" по вопросу поддержки семей с детьми
23.10.2025 14:59:36 | РЕН ТВ

В Британии арестовали троих человек по подозрению в работе на Россию
23.10.2025 14:58:54 | Lenta.ru

Белый дом анонсировал заявление Трампа, он выступит в 22:00 мск
23.10.2025 14:57:00 | Российская Газета

Пономарев: Виктор Шустиков прожил очень яркую футбольную жизнь
23.10.2025 14:56:57 | ТАСС

Путин: страны компенсируют низкую рождаемость хаотичной миграцией
23.10.2025 14:56:19 | ТАСС

Стал известен новый главный тренер молодежной сборной России по хоккею
23.10.2025 14:56:18 | РБК

Беншимол рассказал, что Дзюба всегда старается мотивировать игроков "Акрона"
23.10.2025 14:55:56 | ТАСС

Путин высказался о снижении рождаемости
23.10.2025 14:55:52 | Lenta.ru

Путин назвал принятие одного решения частным делом каждого россиянина
23.10.2025 14:55:33 | Lenta.ru

Производство черной икры в РФ может превысить прошлогодний показатель
23.10.2025 14:55:27 | ТАСС

В МО Польши потребовали арестовать выбросившего на свалку секретные документы
23.10.2025 14:54:50 | ТАСС

На АВТОВАЗе прокомментировали включение в санкционный список
23.10.2025 14:54:45 | За рулем

Умер легендарный футболист "Торпедо" Виктор Шустиков
23.10.2025 14:54:15 | РЕН ТВ

Главу российской госкорпорации арестовали после показаний бывшего топ-менеджера
23.10.2025 14:54:00 | Lenta.ru

Задержан глава Агентства по страхованию вкладов Андрей Мельников
23.10.2025 14:53:44 | Коммерсантъ

Сорока напала на женщину и повредила ей лицо
23.10.2025 14:53:28 | Lenta.ru

Путин назвал счастьем отцовство и материнство
23.10.2025 14:53:24 | ТАСС

Путин: на снижение рождаемости в РФ повлияли "эхо" войны и кризиса 1990-х
23.10.2025 14:52:50 | ТАСС

Татарстан подписал восемь межправительственных соглашений с провинциями Китая
23.10.2025 14:52:40 | ТАСС

На Ставрополье градостроительный потенциал механизма КРТ превышает 1,2 млн кв. м жилья
23.10.2025 14:52:23 | ТАСС

Трамп: Израиль лишится поддержки США в случае аннексии Западного берега Иордана
23.10.2025 14:52:12 | ТАСС

Умер легенда «Торпедо» Виктор Шустиков
23.10.2025 14:51:53 | Lenta.ru

Новые iPhone подорожают
23.10.2025 14:51:34 | Lenta.ru

В Рыбном союзе отметили снижение розничных цен на красную икру на 3-8%
23.10.2025 14:51:34 | ТАСС

Стало известно об издевательствах над Саркози в тюрьме
23.10.2025 14:51:19 | Lenta.ru

Бизнес-коуча Сидоропуло отправили за решетку на 6 лет за мошенничество
23.10.2025 14:50:21 | РБК

Постпредство РФ назвало санкции ЕС "сизифовым трудом"
23.10.2025 14:50:12 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2025 - vsetut.pro