In een beweging gericht op het versterken van de beveiliging heeft XZ alle bijdragen verwijderd van de auteur die bekend staat als Jia Tan, die een achterdeur had geïntroduceerd in de hulpprogramma’s van het XZ compressieformaat. Dit incident was een van de grootste beveiligingsschandalen in de geschiedenis van Linux. Gelukkig kon een onderzoek uitgevoerd door een Microsoft-medewerker de kwetsbaarheid tijdig detecteren.
Een Beveiligingsschandaal in de Wereld van Linux
De achterdeur, die invloed had op de hulpprogramma’s van het XZ-formaat, was niet aanwezig in de broncode, maar in de voor gebruikers beschikbare gecompileerde binaire bestanden, wat de detectie ervan bemoeilijkte. Deze geraffineerde aanval moest verschillende barrières passeren om onontdekt te blijven, en ondanks de vermoedens die moesten zijn ontstaan door bepaalde veranderingen in de broncode, werd deze aanvankelijk niet opgemerkt.
Dankzij de tijdige detectie konden maatregelen worden genomen om ernstige gevolgen te voorkomen. De ernst van het incident heeft echter geleid tot een uitvoerige herziening van de code en de invoering van belangrijke wijzigingen om toekomstige, soortgelijke aanvallen te voorkomen.
Ingevoerde Maatregelen
Gisteren werd een patch gepubliceerd die diverse sleutelwijzigingen doorvoerde. De meest opvallende is de verwijdering van Jia Tan als onderhouder van de software en de verwijdering van al zijn commitberichten. Daarnaast is de licentie van XZ Embedded gewijzigd van publiek domein naar BSD Zero Clause License (0BSD).
De 0BSD-licentie, ondanks de naam, komt niet voort uit een BSD-licentie, maar is een modificatie van de ISC-licentie. Deze licentie is permissief en staat meer flexibiliteit toe in het gebruik van de software. De verantwoordelijken van XZ lichten toe dat deze wijziging identificerende SPDX-licentienummers toelaat toe te voegen, wat de duidelijkheid en het beheer van de code verbetert.
Repercussies en Toekomst
Het verwijderen van de inhoud gerelateerd aan Jia Tan was een verwachte maatregel vanwege de aard van de kwetsbaarheid. Desondanks heeft de licentiewijziging enige verrassing veroorzaakt binnen de gemeenschap. Deze wijziging streeft er niet alleen naar om de beveiliging te verbeteren, maar ook om samenwerking en onderhoud van het project op lange termijn te vergemakkelijken.
Officiële Aankondiging
De officiële aankondiging werd gedaan door Lasse Collin, die de updates voor de licentie, filters en compressieopties in detail beschreef. Tussen de technische wijzigingen zijn de verbetering van de documentatie, de invoering van nieuwe filters voor ARM64 en RISC-V, en aanpassingen in de compressie-opties van de kernel inbegrepen.
De verklaring benadrukt dat de herziening van de documentatie en de opname van nieuwe filters een betere compressie van de kernel en een grotere beveiliging in de bouwprocessen zullen toelaten.
Impact op de Gemeenschap
Dit incident heeft het belang van beveiliging in open-source projecten aangetoond. De Linux-gemeenschap, bekend om zijn samenwerking en transparantie, heeft snelle en effectieve maatregelen genomen om de risico’s die met de achterdeur gepaard gaan te beperken. Gebruikers worden aangemoedigd om de nieuwste versie van XZ te downloaden en up-to-date te blijven over updates en security verbeteringen.
Met deze wijzigingen beoogt XZ niet alleen te herstellen van het incident, maar ook een hogere norm van veiligheid en vertrouwelijkheid in compressiesoftware in te stellen.