Работа мечты в один клик 💼
💭Мечтаешь работать в Сбере, но не хочешь проходить десять кругов HR-собеседований? Теперь это проще, чем когда-либо!
💡AI-интервью за 15 минут – и ты уже на шаг ближе к своей новой работе.
Как получить оффер?
📌 Зарегистрируйся
📌 Пройди AI-интервью
📌 Получи обратную связь сразу же!
HR больше не тянут время – рекрутеры свяжутся с тобой в течение двух дней! 🚀
Реклама. ПАО СБЕРБАНК, ИНН 7707083893. Erid 2VtzquscAwp
Разработчик Jia Tan получил права мэйнтейнера пакета xz в 2022 году и внедрил бэкдор:
- Ему помогали виртуальные персонажи Jigar Kumar и Hans Jansen.
- Они критиковали прошлого мэйнтейнера и продвигали нужные Jia Tan изменения.
Бэкдор реализован через механизм IFUNC и M4-макросы:
- Jia Tan добавил поддержку IFUNC
- M4-макросы для активации спрятаны в архивах релиза 5.6.0.
Скомпрометированы не только релизы xz, но и проекты на его основе:
- Бэкдор попал в ядро Linux через пакет XZ Embedded.
- Jia Tan также мэйнтейнер пакетов xz-java и xz-embedded.
Бэкдор раскрыт благодаря сбоям при отладке в Valgrind:
- Разработчики пытались это исправить в версии 5.6.1.
- Сотрудник Microsoft, участвующий в разработке PostgreSQL, выявил бэкдор.
Прошлый мэйнтейнер xz подтвердил создание скомпрометированных релизов Jia Tan:
- Репозитории на GitHub и поддомен xz.tukaani.org контролировались Jia Tan.
- Основной сайт и репозитории на tukaani.org не были скомпрометированы.
Источники: opennet.ru, boehs.org
Комментарии