ย้อนรอยการฝังโค้ดโครงการ xz คนร้ายทำกันเป็นกระบวนการ ส่งโค้ดเล็กๆ น้อยๆ รอนับปีขอสิทธิ์เป็นผู้ดูแลโครงการ

By lew

on 3 April 2024 - 15:11 Tag: Open Source, Security

Open Source

โครงการ xz ถูกฝังโค้ดวางทางเข้าเซิร์ฟเวอร์ผ่านช่องทาง secure shell นับเป็นเรื่องน่าตระหนก Russ Cox ก็ออกมาเรียบเรียงช่วงเวลาการทำงานของคนร้ายกลุ่มนี้

xz เป็นโครงการโดย Lasse Collin ที่ออกแบบไฟล์โดยใช้กระบวนการบีบอัดแบบ LZMA โดยรวมแล้วมันบีบอัดได้ดีกว่า gzip พอสมควร ไฟล์โดยรวมมีขนาดเพียง 70% ของ gzip จึงได้รับความนิยมสูง ตัวเคอร์เนลลินุกซ์เองก็ใช้กระบวนการบีบอัดนี้ แต่โครงการเริ่มมาตั้งแต่ปี 2005 และ Lasse ก็ดูแลโครงการเรื่อยมา

Jia Tan เริ่มขอส่งแพตช์เล็กๆ น้อยๆ ในเดือนตุลาคม 2021 โดยรวมแล้วไม่มีความผิดปกติอะไร แต่หลังจากนั้นเดือนเมษายน 2022 Jia ก็ส่งแพตช์อีกครั้ง เพียงไม่กี่วันก็มีอีเมล Jigar Kumar มาโวยว่าทำไมกระบวนการรับแพตช์จึงล่าช้า กระบวนการบีบนักพัฒนามาเป็นชุด เมื่อ Dennis Ens มาถามว่ายังมีคนดูแล xz สำหรับจาวาอยู่หรือไม่

Lasse Collin ระบุว่าเขาพยายามรับแพตช์ให้เร็วเท่าที่สุขภาพจะอำนวยแล้ว แต่ตัวละครทั้งสองคนก็ยังบีบขอให้รับแพตช์อย่างต่อเนื่อง ทำให้ Lasse ยอมรับให้สิทธิ์ maintainer แก่ Jia และเขาได้ commit แรกเมื่อสิ้นปี 2022

Jia ได้สิทธิ์ build เวอร์ชั่นแรกคือ 5.4.2 เขาเริ่มส่งโค้ดเพิ่มเติม โดยแก้คอนฟิก oss-fuzz สำหรับตรวจความปลอดภัยโค้ดโดยกูเกิล จากนั้นย้ายเว็บไปยัง GitHub น่าจะเพื่อทำให้แก้ไขเว็บง่ายขึ้น

การลงมือวางช่องทางลับเริ่มปลายเดือนกุมภาพันธ์ 2024 (นับจากช่วงเริ่มติดต่อครั้งแรกสองปีครึ่ง) และแท็กเวอร์ชั่น 5.6.0 หลังจากนั้นหนึ่งวัน

ระหว่างนี้โครงการ systemd มีแนวทางที่จะเลิกรวม liblzma เข้ากับ libsystemd ซึ่งหากทำเสร็จการวางช่องโหว่ใน liblzma ก็จะไม่มีผลนัก คาดว่าอาจจะเป็นตัวเร่งให้ Jia ต้องรีบวางช่องโหว่ เพื่อให้ทันเวอร์ชั่นหลักๆ ของลินุกซ์ก่อน systemd โดยระหว่างนี้มีบัญชี Hans Jansen พยายามไปกดดัน Debian ให้รับ xz เวอร์ชั่นใหม่โดยเร็ว

กระบวนการแสดงให้เห็นว่า Jia ใช้เวลานับปีก่อนจะเริ่มลงมือ และหากมีเวลามากกว่านี้ (ไม่ถูกเร่งโดยแพตช์ systemd) ก็น่าจะทำช่องโหว่ที่คุณภาพดีกว่านี้ได้ ไม่ถูกจับง่ายๆ แบบครั้งนี้

ที่มา - SWTCH.com

Hiring! บริษัทที่น่าสนใจ

Carmen Software

Hotel Financial Solutions

Next Innovation (Thailand) Co., Ltd.

We are web design with consulting & engineering services driven the future stronger and flexibility.

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

Kiatnakin Phatra Financial Group

Financial Service

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

Nipa Cloud

#1 OpenStack cloud provider in Thailand with our own data center and software platform.

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

MuvMi (Urban Mobility Tech Co.,Ltd.)

Shape the future of urban mobility towards affordable, clean, and safe solutions

T.N. Digital Solution Co., Ltd.

TNDS has been involving in every first move of banking’s major digital transformation.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Siam Commercial Bank Public Company Limited

"Let's start a brighter career future together"

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

LTMH

LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย

Seven Peaks

We Drive Digital Transformation

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

สงสัยว่าประเทศไหนให้การสนับสน

osmiumwo1f Wed, 03/04/2024 - 15:39

สงสัยว่าประเทศไหนให้การสนับสนุนน่อ

หรือ Jia Tan

rattananen Wed, 03/04/2024 - 15:39

หรือ Jia Tan จะเป็นสายลับจากจีน

ที่อออก -> ที่ออก

hisoft Wed, 03/04/2024 - 15:59

ที่อออก -> ที่ออก
แต่ตัวละคนทั้งสอง -> ??

ให้สิทธิ์ maintiner

Azymik Wed, 03/04/2024 - 18:33

ให้สิทธิ์ maintiner

ให้สิทธิ์ maintainer

แต่ตัวละครทั้งสองคน?

orbitalz Wed, 03/04/2024 - 20:21

แต่ตัวละครทั้งสองคน?

นอกจากตัวนี้แล้วมีตัวไหนโดนอี

hisoft Wed, 03/04/2024 - 15:59

สำคัญกว่าคือนอกจากตัวนี้แล้วมีตัวไหนโดนอีกบ้าง

ใช่เลย

btoy Wed, 03/04/2024 - 16:39

ใช่เลย เจ้านี่โชคดีที่มีเทพเจอโดยบังเอิญ แล้วตัวที่ยังไม่เจอแล้วใช้วิธีการคล้ายๆกันมีอีกไหม? แค่คิดก็ปวดหัวละ

จีน รัสเซีย เกาหลีเหนือ usa

artofdestroy Wed, 03/04/2024 - 16:20

จีน รัสเซีย เกาหลีเหนือ usa มองหน้ากันละ ใครวะๆ

Russ Cox ว่างหรอ กลับไปเพิ่ม

Ooh Wed, 03/04/2024 - 19:17

Russ Cox ว่างหรอ กลับไปเพิ่ม feature Go เลยนะ

แล้วพวก software แบบปิดขายๆ

TeamKiller Wed, 03/04/2024 - 23:41

แล้วพวก software แบบปิดขายๆ หรือโหลดฟรีๆ จะมีวางยากันแบบนี้ไหมเนี่ย ตรวจสอบก็ยากกว่าพวกเปิดๆ กันอีกมั้ง

จริง เจอเคสนี้พาหลอนไปเลย

qweret Thu, 04/04/2024 - 08:43

จริง เจอเคสนี้พาหลอนไปเลย

"Lasse Collin

EngineerRiddick Thu, 04/04/2024 - 09:00

"Lasse Collin ระบุว่าเขาพยายามรับแพตช์ให้เร็วเท่าที่สุขภาพจะอำนวยแล้ว แต่ตัวละครทั้งสองคนก็ยังบีบขอให้รับแพตช์อย่างต่อเนื่อง ทำให้ Lasse ยอมรับให้สิทธิ์ maintainer"

ถ้าตัวละครเรื่องนี้เปลี่ยนจาก Lasse Collin เป็น "ไลนัส" นะ!!
เกมอาจจะเปลี่ยน ,mailตอบกลับเป็น f-ck ๆๆๆ เต็ม

ไลนัสจะสละเวลา merge patch

lew Thu, 04/04/2024 - 09:29

ไลนัสจะสละเวลา merge patch มานั่งเขียนบทความ 4 หน้ากระดาษ

แต่ to be fair ไลรัสได้เงินเดือนจาก Linux Foundation ขณะที่โครงการโอเพนซอร์สอื่นๆ ไม่ได้แบบเดียวกัน