Gregory's Server
Бэкдор в XZ! https://www.openwall.com/lists/oss-security/2024/03/29/4
Разработал вот этот непризнанный гений: https://github.com/JiaT75
Является участником организации на гитхабе, он же и размещает релизы в репозитории.
Одна часть бэкдора в скрипте, выполняемом после ./configure, то есть в процессе компиляции пакета, другая – в коде внутри каталога tests, подробнее см. в тексте письма, ссылку на которое я привёл в самом начале.
Скрипт бэкдора затрагивает только системы x86_64-glibc, то есть на Alpine (и на любом дистре на ARMе, например) должно быть всё хорошо, по крайней мере до следующей найденной закладки :)
Почему это важно, помимо того, что бэкдоры в принципе являются исключительно отрицательным явлением, а тут ещё и в опенсорсе:
>
openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma.
То есть некоторые дистрибутивы включают в OpenSSH поддержку фичи systemd, а сам системд использует библиотеку liblzma – компонент XZ, похоже, для какого-то сжатия.