Redian新闻
>
“潜伏” 3 年想植入后门,最终被 Bug 打败了

“潜伏” 3 年想植入后门,最终被 Bug 打败了

公众号新闻

推荐关注↓

转自:OSC开源社区

红帽发布了一份 “针对 Fedora Linux 40 和 Fedora Rawhide 用户的紧急安全警报” 指出,最新版本的 xz 5.6.0/5.6.1 工具和库中包含恶意代码,可能允许未经授权的远程系统访问。

xz 是一种通用数据压缩格式,几乎存在于每个 Linux 发行版中,包括社区项目和商业产品发行版。

从本质上讲,它有助于将大文件格式压缩(然后解压缩)为更小、更易于管理的大小,以便通过文件传输进行共享。

红帽已经该漏洞标记为 CVE-2024-3094。目前的调查表明,这些软件包仅存在于 Red Hat 社区生态系统内的 Fedora 41 和 Fedora Rawhide 中,Red Hat Enterprise Linux (RHEL) 的所有版本均不受影响。

安全研究人员 Andres Freund 进行的逆向工程分析发现,恶意代码使用巧妙的技术来逃避检测。更多详情可查看此 oss-security 列表。

值得一提的是,目前 GitHub 已全面禁用了 tukaani-project/xz 仓库,并附有一条信息:

由于违反了 GitHub 的服务条款,GitHub 工作人员已禁止访问该版本库。如果您是该版本库的所有者,可以联系 GitHub 支持部门了解详情。


据称向 xz 添加恶意代码的攻击者被认为处心积虑,潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号,之后积极参与了 xz-utils 的开发,获取信任之后成为了该项目的维护者之一。


过去几个月,JiaT75 开始非常巧妙的悄悄加入恶意代码,“分阶段通过添加测试用例数据为掩盖放入了恶意代码,并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本,在库中添加了劫持某 OpenSSL 函数的功能,添加了一个 SSH 后门。


”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者,以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug,会导致崩溃等,此人随后与 Linux 开发者们频繁联络通信,试图修复问题,并建议他们发现问题后不要公开。


目前 JiaT75 的账号以及 xz-utils 库都已被 GitHub 关闭。



xz 后门事件凸显了维护者在维护一个基本上不会得到多少外界帮助的开源项目时所面临的挑战,当别有用心的人热情提供帮助,你真的难以分辨对方是真心还是假意。


对于 xz 项目原唯一维护者 Lasse Collin 邮件列表交流的分析显示,这位维护者早就筋疲力尽了,他承认如果有 bug 会去修,但开发新功能基本上不可能了。


这种情况在 JiaT75(Jia Tan)积极提供帮助后发生了变化,Jia Tan 是少数或者可能是唯一一位愿意“帮助”而不是抱怨开发停滞的人。


Lasse Collin 表示考虑让 Jia Tan 扮演更重要的角色,甚至让其接手维护。对于不断抱怨和提出要求的用户,他强调这是一个无薪水的业余项目。在“用户”不断的要求之下,Jia Tan 成为了项目的共同维护者。



相关链接
https://www.solidot.org/story?sid=77737
https://www.solidot.org/story?sid=77741
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27


- EOF -

推荐阅读  点击标题可跳转

1、就删了个 printf,代码崩了!

2、Sora 的第一波受害者出现了

3、李彦宏诚不欺我?全球首位 AI 程序员来了

4、谷歌:不建议未成年人接触 C++,太过危险

5、2024年,只有搞颜色的 P 站真正关心网站性能


关注「程序员的那些事」加星标,不错过圈内事

点赞和在看就是最大的支持❤️

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
探索视频理解新境界!在12项任务中,Mamba先打败了Transformer15年前的“点读机女孩”,打败了网暴,击碎了谣言,如今又挺过了开颅…百万澳洲人破防了!下周起,又要多花一笔钱!专家表示:今年想省钱无望了…纽约买房难?华女攒钱11年想在外州安居乐业险被抓 想立足太艰辛他潜伏三年想插它后门,最终还是输给了另一个他HCSSA | 2024常春藤春晚 | 最终·最终·最终节目单!xz活跃维护者“潜伏”三年——添加恶意代码、植入SSH后门开封王婆,被江西彩礼打败了…"风险已释放大半"!雪球集中敲入后的反思汪正贵:和孩子一起打败问题,而不是和问题一起打败孩子。崩溃!加拿大女子哭诉:61岁母亲轻微脑震荡,最终被医生执行安乐死!耗时3年,400万名游戏玩家终于联手打败了最先进的计算机算法Linux 圈 “ 地震 ” :主流压缩工具 XZ 被曝后门,红帽、Debian 等发公告要求紧急停用潜入裴洛西旧金山家中对其丈夫铁锤敲打,他最终被判处30年徒刑假如德国打败了苏联……美国一女子因强迫症常“洗手洗到流血” ,最终靠大脑植入物成功摆脱烦恼……加国很多人没有基本收入后惨了 付完房租剩$22ICLR2024:南洋理工发布!改几个参数就为大模型注入后门为了3万美元!华男不择手段!最终被捕......雅雅寻根心路开启了被现实打败!加拿大百万留学生渴望3步移民拿PR留下!最终却被迫辍学,打工赚生活费...可怕!华人留学生入境加州 惨被关“小黑屋”20多小时 最终被遣返XZ恶意代码潜伏三年,差点引发核末日?后门投毒黑客身份成谜开封王婆,被江西彩礼打败了......7036 血壮山河之枣宜会战 “扑朔迷离”南瓜店 13沈颢|他与约恩·福瑟,没有故事“走出舒适区”的京东健康,今年想做更多语言是一门艺术穷疯了!多伦多小哥理发后找借口“逃单”,店主怒发视频人肉!最终被逼道歉还钱...拉斯维加斯原本要火化的宠物最终被扔在100英里外:“这真的很伤心”,主人们想知道他们收到的是什么骨灰国家药监局关于废止YY/T 0684-2008《神经外科植入物 植入式神经刺激器的标识和包装》等5项医疗器械行业标准的公告奇怪的再会(五)细思极恐!“潜伏”中国40年的日本饮料品牌,竟成了“中国茶”代表?“就算逼迫中企涨价两倍,也救不了欧美光伏”起拍价600元最终被990万拍走?周鸿祎的迈巴赫拍卖!新车288万二手估价90万
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。