โครงการ xz ถูกฝังโค้ดวางทางเข้าเซิร์ฟเวอร์ผ่านช่องทาง secure shell นับเป็นเรื่องน่าตระหนก Russ Cox ก็ออกมาเรียบเรียงช่วงเวลาการทำงานของคนร้ายกลุ่มนี้

xz เป็นโครงการโดย Lasse Collin ที่ออกแบบไฟล์โดยใช้กระบวนการบีบอัดแบบ LZMA โดยรวมแล้วมันบีบอัดได้ดีกว่า gzip พอสมควร ไฟล์โดยรวมมีขนาดเพียง 70% ของ gzip จึงได้รับความนิยมสูง ตัวเคอร์เนลลินุกซ์เองก็ใช้กระบวนการบีบอัดนี้ แต่โครงการเริ่มมาตั้งแต่ปี 2005 และ Lasse ก็ดูแลโครงการเรื่อยมา

Jia Tan เริ่มขอส่งแพตช์เล็กๆ น้อยๆ ในเดือนตุลาคม 2021 โดยรวมแล้วไม่มีความผิดปกติอะไร แต่หลังจากนั้นเดือนเมษายน 2022 Jia ก็ส่งแพตช์อีกครั้ง เพียงไม่กี่วันก็มีอีเมล Jigar Kumar มาโวยว่าทำไมกระบวนการรับแพตช์จึงล่าช้า กระบวนการบีบนักพัฒนามาเป็นชุด เมื่อ Dennis Ens มาถามว่ายังมีคนดูแล xz สำหรับจาวาอยู่หรือไม่

Lasse Collin ระบุว่าเขาพยายามรับแพตช์ให้เร็วเท่าที่สุขภาพจะอำนวยแล้ว แต่ตัวละครทั้งสองคนก็ยังบีบขอให้รับแพตช์อย่างต่อเนื่อง ทำให้ Lasse ยอมรับให้สิทธิ์ maintainer แก่ Jia และเขาได้ commit แรกเมื่อสิ้นปี 2022

Jia ได้สิทธิ์ build เวอร์ชั่นแรกคือ 5.4.2 เขาเริ่มส่งโค้ดเพิ่มเติม โดยแก้คอนฟิก oss-fuzz สำหรับตรวจความปลอดภัยโค้ดโดยกูเกิล จากนั้นย้ายเว็บไปยัง GitHub น่าจะเพื่อทำให้แก้ไขเว็บง่ายขึ้น

การลงมือวางช่องทางลับเริ่มปลายเดือนกุมภาพันธ์ 2024 (นับจากช่วงเริ่มติดต่อครั้งแรกสองปีครึ่ง) และแท็กเวอร์ชั่น 5.6.0 หลังจากนั้นหนึ่งวัน

ระหว่างนี้โครงการ systemd มีแนวทางที่จะเลิกรวม liblzma เข้ากับ libsystemd ซึ่งหากทำเสร็จการวางช่องโหว่ใน liblzma ก็จะไม่มีผลนัก คาดว่าอาจจะเป็นตัวเร่งให้ Jia ต้องรีบวางช่องโหว่ เพื่อให้ทันเวอร์ชั่นหลักๆ ของลินุกซ์ก่อน systemd โดยระหว่างนี้มีบัญชี Hans Jansen พยายามไปกดดัน Debian ให้รับ xz เวอร์ชั่นใหม่โดยเร็ว

กระบวนการแสดงให้เห็นว่า Jia ใช้เวลานับปีก่อนจะเริ่มลงมือ และหากมีเวลามากกว่านี้ (ไม่ถูกเร่งโดยแพตช์ systemd) ก็น่าจะทำช่องโหว่ที่คุณภาพดีกว่านี้ได้ ไม่ถูกจับง่ายๆ แบบครั้งนี้

ที่มา - SWTCH.com