Redian新闻
>
xz活跃维护者“潜伏”三年——添加恶意代码、植入SSH后门

xz活跃维护者“潜伏”三年——添加恶意代码、植入SSH后门

公众号新闻

红帽发布了一份 “针对 Fedora Linux 40 和 Fedora Rawhide 用户的紧急安全警报” 指出,最新版本的 xz 5.6.0/5.6.1 工具和库中包含恶意代码,可能允许未经授权的远程系统访问。

xz 是一种通用数据压缩格式,几乎存在于每个 Linux 发行版中,包括社区项目和商业产品发行版。

从本质上讲,它有助于将大文件格式压缩(然后解压缩)为更小、更易于管理的大小,以便通过文件传输进行共享。

红帽已经该漏洞标记为 CVE-2024-3094。目前的调查表明,这些软件包仅存在于 Red Hat 社区生态系统内的 Fedora 41 和 Fedora Rawhide 中,Red Hat Enterprise Linux (RHEL) 的所有版本均不受影响。

安全研究人员 Andres Freund 进行的逆向工程分析发现,恶意代码使用巧妙的技术来逃避检测。更多详情可查看此 oss-security 列表。

值得一提的是,目前 GitHub 已全面禁用了 tukaani-project/xz 仓库,并附有一条信息:

由于违反了 GitHub 的服务条款,GitHub 工作人员已禁止访问该版本库。如果您是该版本库的所有者,可以联系 GitHub 支持部门了解详情。


据称向 xz 添加恶意代码的攻击者被认为处心积虑,潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号,之后积极参与了 xz-utils 的开发,获取信任之后成为了该项目的维护者之一。


过去几个月,JiaT75 开始非常巧妙的悄悄加入恶意代码,“分阶段通过添加测试用例数据为掩盖放入了恶意代码,并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本,在库中添加了劫持某 OpenSSL 函数的功能,添加了一个 SSH 后门。


”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者,以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug,会导致崩溃等,此人随后与 Linux 开发者们频繁联络通信,试图修复问题,并建议他们发现问题后不要公开。


目前 JiaT75 的账号以及 xz-utils 库都已被 GitHub 关闭。



xz 后门事件凸显了维护者在维护一个基本上不会得到多少外界帮助的开源项目时所面临的挑战,当别有用心的人热情提供帮助,你真的难以分辨对方是真心还是假意。


对于 xz 项目原唯一维护者 Lasse Collin 邮件列表交流的分析显示,这位维护者早就筋疲力尽了,他承认如果有 bug 会去修,但开发新功能基本上不可能了。


这种情况在 JiaT75(Jia Tan)积极提供帮助后发生了变化,Jia Tan 是少数或者可能是唯一一位愿意“帮助”而不是抱怨开发停滞的人。


Lasse Collin 表示考虑让 Jia Tan 扮演更重要的角色,甚至让其接手维护。对于不断抱怨和提出要求的用户,他强调这是一个无薪水的业余项目。在“用户”不断的要求之下,Jia Tan 成为了项目的共同维护者。



相关链接
https://www.solidot.org/story?sid=77737
https://www.solidot.org/story?sid=77741
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27


热门文章

- C++之父反驳白宫

- Redis不再 “开源”

- 微软正式开源专为Windows打造的Sudo

- 谷歌要让Angular再次伟大——正在与内部JS框架Wiz进行合并

- Linus Torvalds:你的代码好恶心

⬇️ 长按二维码,启动!

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
让你精通ssh命令和SSH服务龙腾华夏辞旧岁 温暖迎春庆新年——驻纽约总领馆举行2024年侨学界春节招待会细思极恐!“潜伏”中国40年的日本饮料品牌,竟成了“中国茶”代表?Linux 圈 “ 地震 ” :主流压缩工具 XZ 被曝后门,红帽、Debian 等发公告要求紧急停用16位专家共启鹏华基金2024年——基本面投资醒春之旅“业界毒瘤”Oracle买下Java已有15年——埃里森才是它的伯乐?奥睿关闭上海和台北办公室;天同、国枫、植德等所晋升加盟多名合伙人;金诚同达、恒都落子重庆;CMS布局人工智能工具 | 律所动态老烟记事(404) 胎盘国家药监局关于废止YY/T 0684-2008《神经外科植入物 植入式神经刺激器的标识和包装》等5项医疗器械行业标准的公告“就算逼迫中企涨价两倍,也救不了欧美光伏”XZ恶意代码潜伏三年,差点引发核末日?后门投毒黑客身份成谜伦敦钢琴事件后半生[旅游] 常驻中东的那些年——给你看一个真实的伊朗综述170篇「自监督学习」推荐算法,港大发布SSL4Rec:代码、资料库全面开源!他潜伏三年想插它后门,最终还是输给了另一个他北加州周末活动汇总 | 复活节派对、免费户外电影节、趣味车比赛、植物园看蜂鸟、观测日偏食~2-4月截止!5大类15个夏校可选!ROSS 罗斯数学营、SSP、HCSSiM、SLAI 仍接受申请!最适合写代码的等宽字体Cascadia Code——三年来首次大版本更新:由微软开源、新增两款Nerd字体“潜伏” 3 年想植入后门,最终被 Bug 打败了李诞逛遍新加坡,金沙、老巴刹、植物园都去了突发! 英国国王确诊患癌; “小金豆”把哈尔滨楼市买爆了; 证监会通报! 让恶意做空者“牢底坐穿” | 早报咏梅二首让你精通 ssh命令 和 SSH服务“业界毒瘤” Oracle 买下 Java 已有 15 年——埃里森才是它的伯乐?24GB单卡全量微调Llama 3-8B,仅需添加一行代码严惩操纵市场恶意做空 切实维护市场稳定运行​Ubuntu LTS支持期限延长至12年——但得加钱9点1氪:库迪咖啡称已做好“全场9.9元促销”三年的准备;阿里巴巴宣布对大公司病开刀;黄仁勋身家达913亿美元ISSTA 2024 | 北大提出CoderUJB,面向代码大模型的可执行多任务代码评估基准揭示真实能力与局限诗词三首信托杀入S市场证监会:严惩操纵市场恶意做空 切实维护市场稳定运行今天起 ChatGPT 无需注册就能用了;xz 后门作者可能生活在东欧不一定是华裔kiss是亲,ass是屁股,但kiss her ass可不是“亲她屁股”!
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。