De Linux-datacompressietool xz-Utils is weer beschikbaar via GitHub. Na de ontdekking van een backdoor afgelopen maand werden de repositories van de tool tijdelijk uitgeschakeld.
Lasse Collin, de ontwikkelaar van xz-Utils, heeft via zijn persoonlijke website aangekondigd dat de repositories weer beschikbaar zijn. Hij heeft verschillende aanpassingen gedaan, waaronder wijzigingen in het beveiligingsbeleid, meldt security.nl. Hij roept verder op om gevonden kwetsbaarheden niet direct openbaar te maken, maar aan hem te rapporteren, en belooft spoedig updates uit te brengen voor gerapporteerde beveiligingsproblemen.
Bovendien heeft Collin commits gedaan om de backdoor in versies 5.6.0 en 5.6.1 te verwijderen en om de maintainer die de backdoor toevoegde (en inmiddels met de noorderzon is vertrokken) aan te kaarten.
‘Repository reviewen heeft prioriteit’
Collin meldt verder op zijn website dat hij een artikel wil schrijven over hoe de backdoor in de releases is beland en welke lessen hieruit te trekken zijn. Hij geeft aan dat hij nog bezig is met het bestuderen van de details, bovendien geeft hij momenteel prioriteit aan het reviewen van de repository boven het schrijven van het geplande artikel. Volgens de xz-maker zal een dergelijke ‘lessons learned’ dus zeker nog een paar dagen duren.
Hij meldt verder dat hij in discussie is over de noodzaak om de master branch helemaal te herschrijven om de kwaadaardige bestanden te verwijderen. Dit om te voorkomen dat antivirussoftware wordt geactiveerd. Een schone, stabiele releaseversie van xz Utils krijgt waarschijnlijk meteen versienummer 5.8.0 mee (en slaat dus 5.7. over) om zoveel mogelijk onderscheid te maken tussen de schone versie en de eerdere besmette 5.6.x-versies. De meest recente stabiele versie die nu op GitHub staat, is versie 5.4.6.
Tijdig ontdekt
De dader of groepering achter de backdoor (bekend onder de naam ‘Jia Tan’) maakte in de loop van ruim twee jaar wijzigingen aan de tool, ook ‘nuttige’. Daarbij oefende men druk uit op Linux-distributeurs om gecompromitteerde versies van xz op te nemen onder het mom van nieuwe functionaliteiten.
Op Goede Vrijdag van dit jaar ontdekte een Microsoft-onderzoeker dat kwaadwillenden via gecompromitteerde componenten van de tool ongeautoriseerd toegang konden krijgen tot systemen door code in te voegen tijdens het SSH-aanmeldproces.
Uiteindelijk zijn de gecompromitteerde 5.6.0- en 5.6.1-versies van xz in slechts enkele Linux-distributies terecht gekomen. De meeste daarvan zijn development-, test- of experimentele versies en daarom niet veelvuldig in gebruik. De tijdige ontdekking ervan heeft voorkomen dat de malafide versie op productieomgevingen terecht is gekomen.
Lees ook: xz-backdoor toont hoe kwetsbaar open-source is voor hackers met lange adem