Linux işletim sistemi oldukça yüksek güvenliğiyle ünlüdür. Ancak ortaya çıktı ki Linux, sisteme çok akıllıca bir şekilde eklemek istedikleri bir güvenlik açığı nedeniyle büyük bir sorunun eşiğindeydi.
Sorun, Microsoft araştırmacısı Andres Freund tarafından oldukça tesadüfen keşfedildi. Rutin mikro testler yaparken ssh süreçlerinde 500 ms’lik hafif bir gecikme fark etti. Ayrıca işlemler açıklanamayacak kadar yüksek miktarda CPU kaynağı kullanıyordu. Daha ileri araştırmalar, Red Hat ve Debian da dahil olmak üzere yaygın olarak kullanılan Linux dağıtımlarına sızan bir sıkıştırma aracındaki kötü niyetli bir arka kapıyı ortaya çıkardı.
Yaklaşık 15 yıldır var olan ve bu çevrelerde oldukça iyi bilinen xz Utils programından bahsediyoruz. 5.6.0 ve 5.6.1 sürümlerinde yazılım kötü amaçlı kod içermektedir. Sonuç olarak, xz Utils, Unix benzeri işletim sistemleri ve Windows için bir veri sıkıştırma uygulamasıdır ve Debian ve Ubuntu, Fedora, Slackware, Arch Linux gibi birçok popüler dağıtım, xz Utils’i içerir. Yani, xz Utils’teki arka kapı otomatik olarak yukarıdaki dağıtımları çalıştıran milyonlarca bilgisayarın güvenlik açığı anlamına gelir.
Neyse ki sorun, büyük Linux dağıtımlarının son sürümlerine girmeden önce keşfedildi, ancak hem Red Hat hem de Debian, yakın zamanda yayınlanan beta sürümlerin arka kapılı sürümlerden en az birini kullandığını bildirdi. Red Hat, Fedora 41 ve Fedora Rawhide’daki güvenlik açığı bulunan paketleri tespit etti ve kullanıcılara bir güncelleme çıkana kadar kullanımı durdurmalarını tavsiye etti, ancak Red Hat Enterprise Linux (RHEL) etkilenmedi.
Cal.com’un kurucu ortağı X sosyal ağında şunları yazdı:
Bugün teknolojiyle ilgisi olmayan arkadaşlarıma 500 ms gecikme süresinde hata ayıklayan mühendisin tüm ağı ve muhtemelen tüm uygarlığı kurtardığını anlatmaya çalışıyordum.
Analygence kıdemli analisti Will Dormann, “Eğer bu keşfedilmemiş olsaydı, dünya için bir felaket olurdu” dedi.
Habr’da hem arka kapının ayrıntılarını açıklayan hem de arkasında kimin olabileceğini analiz eden bir makale var. Muhtemelen xz Utils’in geliştiricisinin bu durumla hiçbir ilgisi yoktu ve iddiaya göre saldırganlar, bakım haklarını elde etmek ve gerekli kodu uygulamak için iki yıl boyunca açık kaynak topluluğunun gözüne girmek zorunda kaldı.