ในวันศุกร์ที่ 29 มีนาคม 2024 ชุมชน Linux ตกตะลึงกับประกาศด่วนที่ออกโดย Red Hat (IBM) ในโพสต์นี้ เราจะอธิบายว่าปัญหาด้านความปลอดภัยของ XZ Utils คืออะไร ซึ่ง Linux ดิสทริบิวชั่นใดบ้างที่ได้รับผลกระทบ และวิธีแก้ปัญหา
ไลบรารี xz utils บน Linux เป็นชุดของยูทิลิตี้การบีบอัดข้อมูลและคลายการบีบอัดที่เราสามารถพบได้ในลีนุกซ์เกือบทุกรุ่น ส่วนใหญ่จะใช้สำหรับการบีบอัดไฟล์ขนาดใหญ่เป็นรูปแบบที่ใช้พื้นที่น้อยลง
ปัญหาด้านความปลอดภัยกับ XZ Utils
รายงานความปลอดภัยซึ่งได้รับคะแนน 10.0 (รุนแรงที่สุด) ส่งผลต่อเวอร์ชัน 5.6.0 และ 5.6.1 ตัวแรกเปิดตัวเมื่อวันที่ 24 กุมภาพันธ์และครั้งที่สองในวันที่ 9 มีนาคม ตามรายงานของ Red Hat:
ด้วยชุดของการทำให้สับสนที่ซับซ้อน กระบวนการสร้าง liblzma จะแยกไฟล์อ็อบเจ็กต์ที่สร้างไว้ล่วงหน้าจากไฟล์ทดสอบปลอมตัวที่มีอยู่ในซอร์สโค้ด ซึ่ง จากนั้นใช้เพื่อแก้ไขฟังก์ชันเฉพาะในโค้ด liblzma
ซึ่งส่งผลให้มีไลบรารี liblzma ที่ถูกแก้ไข สามารถใช้โดยซอฟต์แวร์ใด ๆ ที่เชื่อมโยงกับไลบรารีนี้ โดยดักจับและแก้ไขการโต้ตอบข้อมูลกับไลบรารีนี้
โค้ดที่เป็นอันตรายซึ่งนำมาใช้ในหนึ่งในที่เก็บ GitHub ของโปรเจ็กต์ ถูกเพิ่มโดยผู้ใช้ที่ระบุชื่อ Jia Tan ฟังก์ชันเฉพาะของมันคือการแทรกแซงกระบวนการ sshd daemon สำหรับ SSH (Secure Shell) ผ่าน systemd และในที่สุดทำให้อาชญากรไซเบอร์ทำลายการตรวจสอบสิทธิ์ sshd ได้ง่ายขึ้น และเข้าถึงระบบจากระยะไกลโดยไม่ได้รับอนุญาต
พื้นที่เก็บข้อมูลทั้งหมดที่เชื่อมโยงกับสิ่งที่เรียกว่าโครงการ Tukani (ซึ่ง Jia Tan เข้าร่วม) ถูกยกเลิกการลงทะเบียนโดย GitHub แม้ว่าผู้ดูแลเดิมจะปฏิเสธการมีส่วนร่วมใดๆ ในปัญหานี้ก็ตาม
การแจกแจงที่ได้รับผลกระทบ
โดยส่วนใหญ่ สิ่งที่ได้รับผลกระทบคือการเผยแพร่ในขั้นตอนการทดสอบหรือการเปิดตัว แม้ว่าทั้งหมดจะเผยแพร่การอัปเดตด้านความปลอดภัยแล้วก็ตาม
- Fedora 40, Fedora 41 และ Fedora Rawhide
- Kali Linux อัปเดตระหว่างวันที่ 26 ถึง 29 มีนาคม
- openSUSE Tumbleweed และ openSUSE MicroOS อัปเดตระหว่างวันที่ 7 มีนาคมถึง 28 มีนาคม
- การทดสอบ Debian ไม่เสถียรและอยู่ในช่วงทดลอง
ในกรณีของ Ubuntu 24.04 มีการเสนอให้เพิ่มแพ็คเกจที่ได้รับผลกระทบ แต่ยังไม่ได้ติดตั้ง
คำปฏิเสธ
Lasse Collins ผู้ดูแลโครงการ Tukaani ซึ่งรับผิดชอบด้านห้องสมุด ได้ชี้แจงดังนี้:
- พื้นที่เก็บข้อมูล git git.tukaani.org ยังคงทำงานอยู่
- เฉพาะพัสดุที่ลงนามโดย Jia Tan เท่านั้นที่ได้รับผลกระทบ
- เนื่องจาก GitHub ไม่เพียงแต่ย้ายพื้นที่เก็บข้อมูลของ Jia Tan แต่ยังรวมถึงทุกอย่างที่เกี่ยวข้องกับห้องสมุดรวมถึงเว็บไซต์ด้วย จึงเป็นไปได้ที่ต่อจากนี้ไป โปรเจ็กต์จะดำเนินการต่อโดยใช้โดเมน tukaani.org
การค้นพบ
บุคคลที่ตรวจพบปัญหาครั้งแรกคือนักวิจัยที่เชื่อมโยงกับ Microsoft ชื่อ Andrés Freund ซึ่ง เขาประทับใจกับการใช้ CPU ที่มากเกินไปของ Debian Sid เมื่อเข้าสู่ระบบผ่าน SSH Andrésมีความเห็นว่า Jia Tan มีหน้าที่รับผิดชอบในการเผยแพร่แพทช์ของเขาในรายชื่อผู้รับจดหมายต่างๆ
สิ่งที่เราเรียนรู้ได้
ในกรณีนี้ ข้อดีของซอฟต์แวร์โอเพ่นซอร์สฟรีก็เป็นประโยชน์ต่อเรา นักวิจัยตรวจพบปัญหาและแก้ไขได้อย่างรวดเร็ว แต่ก่อนที่จะแสดงความยินดีกับตัวเอง ลองคิดดูว่า:
- สำหรับ ผู้เชี่ยวชาญด้านความปลอดภัย Thadeus Grugq ที่อยู่เบื้องหลังสิ่งนี้คือโครงสร้างของประเทศ หากตรวจไม่พบปัญหา ผู้โจมตีจะสามารถเข้าถึงลินุกซ์ส่วนใหญ่ที่เชื่อมต่อกับอินเทอร์เน็ต
- โดย ผู้เชี่ยวชาญด้านการเข้ารหัสลับ Fillippo Valsorda นี่อาจเป็นการโจมตีที่ดำเนินการได้ดีที่สุดที่เราเคยเห็นในที่เปิดเผย และมันเป็นสถานการณ์ฝันร้าย: เป็นอันตราย ทำได้ดี และผ่านการตรวจสอบทั้งหมดในไลบรารีที่ใช้กันอย่างแพร่หลาย
ต้นตอของปัญหาอยู่ที่ ข้อความนี้โพสต์ในปี 2022 โดยผู้ดูแลโครงการเดิม
ฉันไม่ได้หมดความสนใจ แต่ความสามารถในการดูแลของฉันค่อนข้างจำกัด สาเหตุหลักมาจากปัญหาสุขภาพจิตในระยะยาว แต่ยังเนื่องมาจากสิ่งอื่นๆ อีกสองสามอย่างด้วย ฉันเพิ่งทำงานร่วมกับ Jia Tan ที่ XZ Utils และบางทีฉันอาจจะมีบทบาทที่ใหญ่กว่านี้ในอนาคต เราจะได้เห็นกัน
โปรดจำไว้ว่านี่เป็นโครงการงานอดิเรกที่ไม่ได้รับค่าตอบแทน
ยังไงก็รับรองว่ารู้ปัญหาดีอยู่แล้วว่ายังคืบหน้าไม่มาก แนวคิดในการหาผู้ดูแลใหม่ก็มีมานานแล้วเช่นกัน เนื่องจากสถานการณ์ปัจจุบันย่ำแย่และน่าเศร้าสำหรับโครงการอย่างเห็นได้ชัด
นี่ไม่ใช่ครั้งแรกที่เราประสบปัญหาในโลกของซอฟต์แวร์เสรีเพราะว่าการแจกแจงขนาดใหญ่ใช้ส่วนประกอบที่พัฒนาโดยอาสาสมัครที่ได้รับค่าจ้างต่ำกว่าและมักจะหมดแรงซึ่งทำสิ่งที่พวกเขาทำได้ในเวลาว่าง และดูเหมือนว่าอาชญากรคอมพิวเตอร์ได้ตัดสินใจที่จะใช้ประโยชน์จากพวกเขา