GitHub heeft de repo’s van xz weer beschikbaar gesteld. Het platform haalde die eerder offline nadat er een backdoor in de compressietool bleek te zitten. Na nieuwe commits is die achterdeur verwijderd en is de onbekende Jia Tan als maintainer verwijderd.
De repo’s van zowel xz en xz-utils als van xz-embedded en xz-java staan weer online. GitHub haalde de repository’s vorige week offline toen bleek dat er malware in de veelgebruikte compressietool xz bleek te zitten. Later werd duidelijk dat het om een bewust geplaatste achterdeur ging.
Een van de twee hoofdontwikkelaars van de repo, Lasse Collin, zegt op zijn eigen website dat de Git-repo’s weer via GitHub benaderbaar zijn. Daarmee is het ook voor onderzoekers weer mogelijk om te zien wat er in het verleden aan de repo is aangepast. Collin zegt op zijn website niets over de betrokkenheid van Jia Tan te weten. Jia Tan was de naam van de persoon die de achterdeur in xz stopte en die naast Collin de belangrijkste maintainer van de software was.
Collin zegt dat het e-mailadres en de website alleen nog voor hem toegankelijk zijn. Hij heeft in een commit geschreven dat hij voorlopig de enige maintainer is en dat Jia Tan na de ontdekking van de achterdeur ‘plotseling’ is verdwenen. Collin heeft daarnaast een commit geplaatst waarin hij bevestigt dat de achterdeur is verwijderd. Hij heeft daarnaast een responsible-disclosurebeleid opgezet waarin hij onderzoekers vraagt om dertig dagen tijd om reparaties door te voeren.