Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1. Бэкдор представляет собой [строчку в одном из m4-скриптов](https://salsa.debian.org/debian/xz-utils/-/blob/debian/unstable/m4/build-to-host.m4?ref_type=heads#L63), которая дописывает обфусцированный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносной нагрузки (замаскированной под тестовый архив `bad-3-corrupt_lzma2.xz`) непосредственно в исполняемый файл библиотеки liblzma. Особенность инцидента состоит в том, что вредоносные скрипты сборки, служащие "триггером" для бэкдора, содержатся _только_ в распространяемых tar-архивах с исходным кодом и не присутствуют в git-репозитории проекта. Сообщается, что человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему, либо стал жертвой серьёзной компрометации его личных учётных записей (но исследователь склоняется к первому варианту, т. к. этот человек лично участвовал в нескольких обсуждениях, связанных с вредоносными изменениями). По ссылке исследователь отмечает, что в конечном итоге целью бэкдора, по-видимому, является инъекция кода в процесс sshd и подмена кода проверки RSA-ключей, и приводит несколько способов косвенно проверить, исполняется ли вредоносный код на вашей системе в данный момент. Рекомендации по безопасности были выпущены проектами [Arch Linux](https://archlinux.org/news/the-xz-package-has-been-backdoored/), [Debian](https://lists.debian.org/debian-security-announce/2024/msg00057.html), [Red Hat](https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users) и [openSUSE](https://lwn.net/ml/opensuse-factory/5d7acd45-7021-4c09-8c0b-6f4b8797aecd@suse.com/). Разработчики Arch Linux отдельно отмечают, что хотя заражённые версии xz и попали в репозитории дистрибутива, дистрибутив остаётся в относительной "безопасности", т. к. sshd в Arch не линкуется с liblzma. --- Проект openSUSE [отмечает](https://news.opensuse.org/2024/03/29/xz-backdoor/), что ввиду запутанности кода бэкдора и предполагаемого механизма его эксплуатации сложно установить "сработал" ли он хотя бы раз на данной машине, и рекомендует полную переустановку ОС с ротацией всех релевантных ключей на всех машинах, на которых хотя бы раз оказывались заражённые версии xz.