2024年3月29日、圧縮ユーティリティ「xz-utils」にバックドアが発見されました。
xz-utilsはLinuxやmacOSで使われていて、バックドアがどのように利用されるのか詳細はまだ分析されている途中ですが、sshの認証システムに関連し、非常に重大なセキュリティ問題を引き起こすものだととらえられています。
現在、影響を受けるシステムでは、問題が発見されたバージョンxz 5.6.0/5.6.1を古いバージョンに戻したり、緊急パッチをリリースして対策が行われているようですが、より長期的には根本的な対策が必要となるのかもしれません。
例えば、Linuxディストリビューションの一つであるDebianプロジェクトは、悪意のコミッターが行ったxzへの変更を完全に含まない古いバージョンまで戻すことを検討しているようです。
この情報によると、バックドアを追加したとされるxzのメンテナJia Tan氏のコミットは最低でも750回を数え、バックドアが追加されたバージョンを元に戻すだけでは、他のバックドアが隠されていないかを保証するには不十分であるとのこと。バックドアが含まれていない直近の5.4.5にも同氏による多数のコミットが含まれているため、関与が行われていない5.3.1へ戻したほうが良いとの提案が行われています。
ただし、古いバージョンへ戻すと、xz-utils自体の機能が以前のものに戻ってしまうのに加え、dpkg、erofs-utils、kmodなど重要なパッケージが動かなくなってしまうため、ダウングレードは慎重に行う必要があるとのこと。
「FAQ on the xz-utils backdoor」によると、xz-utilsには2人のメンテナが存在し、渦中のJia Tan(JiaT75)氏はここ2年の間にxzに貢献し始め、1.5年ほど前にコミットアクセス権や、リリースマネージャの権利を獲得しています。一方、もう一人のLasse Collin (Larhzu)氏はxzの初期(2009年から)からのメンテナで、https://tukaani.org/xz-backdoor/ に最新情報を掲載し、コミュニティと協力しています。
なお、XZにしかけられたバックドアは認証をバイパスするものではなく、リモートコード実行を可能にするより悪質なものではないかとの調査も行われているようです。
