# XZ Utils 事件対応
XZ Utils は圧縮と解凍のためのユーティリティ集です。LZMA/LZMA2 圧縮アルゴリズムを実装している高い圧縮率を提供する圧縮アルゴリズムです。
バックドア事件
2024 年 3 月 29 日に、liblzma のコードにバックドアが存在する可能性があるとセキュリティメーリングリストに報告がありました。CPU 使用率が異常で調査したところ、XZ Utils バージョン5.6.0 と 5.6.1に悪意のあるコードが含まれていることが分かりました。
2024 年 2 月 24 日頃と 2024 年 3 月 9 日頃に XZ Utils に不正なコードを 2 回コミットして、2024 年 3 月 29 日に Andres Freund 氏が XZ Utils バックドア問題の指摘を Openwall のセキュリティメーリングリストへ投稿で発覚しました。
# 問題の主人公
Jia Tan 氏は約 2 年半前から XZ Utils の開発に参加を行っており、1 年半前にはコミットアクセス権、リリースマネージャー権を取得していた。同氏によるコミットはこれまで 700 回を超えると分析されている。2024 年 3 月 31 日時点で Jia Tan 氏は解任されている。
# XZ バージョン確認
xz --version
# xz (XZ Utils) 5.4.6
# liblzma 5.4.6
xz -Vも同様に使えます。
5.6 か 5.6.1 に表示されたら upgrade してバージョン更新しましょう。
# Trust, but Verify の重要性
信頼できるソースからの情報やプログラムでも、検証する必要があると言うのは簡単です。システムセキュリティ、ビジネス、人間関係、信頼ができるから構築できたものが一人の開発者によって、世の中がもう一度 Trust と Verify の重要性を考えることになりました。
# 参考
長い時間をかけてプロジェクトオーナーの信頼を勝ち取り、メンテナンスを任された開発者が意図的に混入させたという悪質性や、当該ツールが複数の主要な Linux ディストリビューションで採用されており、「OpenSSH」をはじめ影響が広範囲に及ぶ点などが話題を呼び、オープンソースソフトウェアのサプライチェーンのあり方が問われる事態となっている。
「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に (opens new window)
XZ Utils は LZMA Utils の後継となるソフトウェアであり,Lempel–Ziv–Markov chain Algorithm(LZMA)の改良版である LZMA2 の実装になっています.圧縮には時間がかかるものの,bzip2 を上回る圧縮率を誇り,高速に伸長できるという利点から,tar に採用されるなど,普及が進んでいます
XZ Utils の使い方 (opens new window)