Das xy-Kompressionstool in Fedora hat eine Backdoor
Malicious code was discovered in the upstream tarballs of xz, starting with version 5.6.0. Through a series of complex obfuscations, the liblzma build process extracts a prebuilt object file from a disguised test file existing in the source code, which is then used to modify specific functions in the liblzma code. This results in a modified liblzma library that can be used by any software linked against this library, intercepting and modifying the data interaction with this library.
Bösartiger Code wurde in den Upstream-Tarballs von xz, beginnend mit Version 5.6.0, entdeckt. Durch eine Reihe komplexer Verschleierungen extrahiert der liblzma-Erstellungsprozess eine vorgefertigte Objektdatei aus einer getarnten Testdatei im Quellcode, die dann verwendet wird, um bestimmte Funktionen im liblzma-Code zu verändern. Das Ergebnis ist eine modifizierte liblzma-Bibliothek, die von jeder Software verwendet werden kann, die gegen diese Bibliothek gelinkt ist, und die die Dateninteraktion mit dieser Bibliothek abfängt und modifiziert.
(Quelle: CVE-2024-3094)