Openwall 相关信息：

• 提供多种产品和服务，如 Openwall GNU/*/Linux 服务器操作系统、Linux Kernel Runtime Guard、John the Ripper 密码破解工具等。
• 有多个资源，包括 mailing lists、社区 wiki、GitHub 上的源代码仓库等。

关于 xz/liblzma 后门事件：

• 观察到 Debian sid 安装上的 liblzma 出现异常症状，如 ssh 登录占用大量 CPU、valgrind 错误等，发现上游 xz 仓库和 tarballs 被植入后门。
• 后门部分在分布式 tarballs 中，如 debian 导入的 tarball 及 5.6.0、5.6.1 的 tarballs 中，会在 configure 结束时执行 obfuscated 脚本，修改 Makefile 并执行一系列操作，最终导致可执行文件中包含特定代码。
• 包含 exploit 的文件在 upstream 的 tests/files 中，5.6.0 时未用于测试，5.6.1 时进行了一些修复尝试。
• 后门影响的系统需满足特定条件，如 x86_64 linux、使用 gcc 和 gnu 链接器、作为 debian 或 RPM 包构建等，可能仅在 glibc 系统上生效，且 5.6.0 和 5.6.1 尚未广泛集成。
• 在安装 backdoored liblzma 后，ssh 登录变慢，openssh 虽不直接使用 liblzma，但因 debian 等系统的补丁导致受影响，在特定环境下可观察到 slowdown，如不设置 TERM 环境变量等。
• 分析后门代码发现其通过替换 ifunc 解析器、安装动态链接器审计钩子等方式工作，最终将 RSA_public_decrypt@....plt 重定向到自己的代码，可能允许未经授权的访问或远程代码执行。

后续处理：

• 未向上游报告 bug，先向 security@...ian.org 报告，后向 distros@报告，Red Hat 分配 CVE-2024-3094。
• Vegard Nossum 编写检测脚本，可检测系统上的 ssh 二进制是否易受攻击。
• 提醒尽快升级潜在 vulnerable 系统，并提供相关附件，如 injected.txt、liblzma_la-crc64-fast.o.gz、detect.sh。
• 可查看 Open Source Software Security Wiki 及相关指南。