Операционная система Linux славится своей достаточно высокой защищённостью. Однако, как оказалось, Linux стояла на пороге огромнейшей проблемы с уязвимостью, которую хотели внедрить в систему весьма хитроумным способом. 

Проблему совсем случайно обнаружил исследователь Microsoft Андрес Фройнд (Andres Freund). Он проводил рутинное микротестирование, когда заметил небольшую задержку в 500 мс в процессах ssh. Кроме того, процессы использовали необъяснимо много ресурсов CPU. Дальнейшие исследования позволили обнаружить вредоносный бэкдор в инструменте сжатия, который проник в широко используемые дистрибутивы Linux, в том числе Red Hat и Debian. 

Речь о довольно известной в этих кругах программе xz Utils, которая существует уже около 15 лет. В версиях 5.6.0 и 5.6.1 ПО содержит вредоносный код. Суть в том, что xz Utils представляет собой приложение для сжатия данных для Unix-подобных операционных систем и Windows, и многие популярные дистрибутивы, включая Debian и Ubuntu, Fedora, Slackware, Arch Linux, включают в себя xz Utils. То есть бэкдор в xz Utils автоматически означает уязвимость миллионов ПК, работающих под управлением вышеуказанных дистрибутивов. 

К счастью, проблему обнаружили раньше, чем она успела попасть в финальные выпуски для основных дистрибутивов Linux, но как Red Hat, так и Debian сообщили, что недавно опубликованные бета-версии использовали по крайней мере одну из версий с бэкдором. Red Hat выявила уязвимые пакеты в Fedora 41 и Fedora Rawhide и посоветовала пользователям прекратить использование до тех пор, пока не будет доступно обновление, хотя Red Hat Enterprise Linux (RHEL) остается незатронутым.   

Сооснователь Cal.com написал в социальной сети X следующее:

Сегодня я пытался объяснить своим друзьям, не связанным с технологиями, что инженер, отладивший задержку в 500 мс, спас всю сеть, а возможно, и всю цивилизацию 

Старший аналитик Analygence Уилл Дорманн (Will Dormann) заявил, что «если бы это не было обнаружено, это было бы катастрофой для мира».  

На Habr есть статья как с разъяснением подробностей о самом бэкдоре, так и с разбором того, кто может за всем этим стоять. Предположительно, разработчик xz Utils отношения к ситуации не имеет, а злоумышленникам якобы пришлось два года втираться в доверие сообществу открытого программного обеспечения, чтобы получить права мейнтейнера и внедрить нужный код.