↓推荐关注↓; @/ r+ {# V5 k3 h
转自:OSC开源社区8 [# @# [) Q/ k
红帽发布了一份 “针对 Fedora Linux 40 和 Fedora Rawhide 用户的紧急安全警报” 指出,最新版本的 xz 5.6.0/5.6.1 工具和库中包含恶意代码,可能允许未经授权的远程系统访问。+ h3 ~4 `8 ~$ H3 c' {! R2 V9 V
xz 是一种通用数据压缩格式,几乎存在于每个 Linux 发行版中,包括社区项目和商业产品发行版。0 O R% G* }$ i1 @. u
从本质上讲,它有助于将大文件格式压缩(然后解压缩)为更小、更易于管理的大小,以便通过文件传输进行共享。
g( _$ D8 b) N$ l# i. Y1 c4 ]
2hdyp1xlk5s64027648311.png
9 Y9 P* b" V$ h8 n: Q Q/ q
红帽已经该漏洞标记为 CVE-2024-3094。目前的调查表明,这些软件包仅存在于 Red Hat 社区生态系统内的 Fedora 41 和 Fedora Rawhide 中,Red Hat Enterprise Linux (RHEL) 的所有版本均不受影响。
7 t+ v, f/ m9 m, h& ]安全研究人员 Andres Freund 进行的逆向工程分析发现,恶意代码使用巧妙的技术来逃避检测。更多详情可查看此 oss-security 列表。9 ]8 x2 Q ^% @) L% |" M& O8 b9 ~: ~
值得一提的是,目前 GitHub 已全面禁用了 tukaani-project/xz 仓库,并附有一条信息:
3 R" d+ }( T5 x, e2 \由于违反了 GitHub 的服务条款,GitHub 工作人员已禁止访问该版本库。如果您是该版本库的所有者,可以联系 GitHub 支持部门了解详情。 b/ P1 o5 j2 N- a0 j8 C1 v0 Y
据称向 xz 添加恶意代码的攻击者被认为处心积虑,潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号,之后积极参与了 xz-utils 的开发,获取信任之后成为了该项目的维护者之一。
; O( B% X4 @' W, [* x7 t4 F0 m; n; x& s/ e" i/ i
过去几个月,JiaT75 开始非常巧妙的悄悄加入恶意代码,“分阶段通过添加测试用例数据为掩盖放入了恶意代码,并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本,在库中添加了劫持某 OpenSSL 函数的功能,添加了一个 SSH 后门。* r( b- n! h9 K9 {2 y
' i: t( I$ M5 k% S7 P2 Z
”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者,以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug,会导致崩溃等,此人随后与 Linux 开发者们频繁联络通信,试图修复问题,并建议他们发现问题后不要公开。8 v5 F3 D; L( C2 J7 K% ~1 x
7 _$ k6 D' o' v' i
目前 JiaT75 的账号以及 xz-utils 库都已被 GitHub 关闭。
+ `; {2 H3 f( \" y' w( O
) s7 z/ @; X6 b
3awowczqejy64027648411.png
5 a* ^6 Y. g7 G( m1 o" Q
6 a5 o9 {* {5 L* c9 ]; u N, Mxz 后门事件凸显了维护者在维护一个基本上不会得到多少外界帮助的开源项目时所面临的挑战,当别有用心的人热情提供帮助,你真的难以分辨对方是真心还是假意。0 W' P* y- B+ v1 K0 V, H6 h E
. e+ I% G4 V6 \, t! j( l对于 xz 项目原唯一维护者 Lasse Collin 邮件列表交流的分析显示,这位维护者早就筋疲力尽了,他承认如果有 bug 会去修,但开发新功能基本上不可能了。
9 a/ S: V; ]7 S. W( p& Z* `) Q0 W* B9 M& }
这种情况在 JiaT75(Jia Tan)积极提供帮助后发生了变化,Jia Tan 是少数或者可能是唯一一位愿意“帮助”而不是抱怨开发停滞的人。
8 w7 {, Q3 y# x$ _& V- r2 t; }- b P, O( X5 W) B
Lasse Collin 表示考虑让 Jia Tan 扮演更重要的角色,甚至让其接手维护。对于不断抱怨和提出要求的用户,他强调这是一个无薪水的业余项目。在“用户”不断的要求之下,Jia Tan 成为了项目的共同维护者。* \% ~" g, X* c7 |" P& ~* N
: m- f! w/ h& _
2 d+ o* L$ f. v/ v相关链接: h& z) Q# K. G3 g0 x
https://www.solidot.org/story?sid=77737https://www.solidot.org/story?sid=77741https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
" ]8 M! V1 ]6 J- EOF -
& t% z% F8 {; X! W( e+ Y% d3 b——EOF——你好,我是飞宇,本硕均于某中流985 CS就读,先后于百度搜索、字节跳动电商以及携程等部门担任Linux C/C++后端研发工程师。+ V: \2 ?0 m$ k
最近招聘季快到了,身边很多小伙伴都在摩拳擦掌、跃跃欲试,很多都打算看看新机会,这里推荐一个好朋友阿秀开发的互联网大厂面试真题解析网站,支持按照行业、公司、岗位、科目、考察时间等查看面试真题,有意者欢迎体验。0 l. L1 y e/ X ?/ ^3 R7 S
如果你明天就要面试了,那我建议你今晚来刷一刷这个网站,说不定就能遇到你明天的面试原题,目前已经有不少人在面试中遇到原题了,具体可以看下链接:字节跳动后端研发岗面试考察题目Top10、面试中局部性原理还真有用!. Q5 E4 ^$ a5 c, j& A' z
nkotydvhdpa64027648512.png
j& t+ e& o" J
网址:https://top.interviewguide.cn/
- Y7 l, x" }& _4 W5 U/ }; l同时,我也是知乎博主@韩飞宇,日常分享C/C++、计算机学习经验、工作体会,欢迎点击此处查看我以前的学习笔记&经验&分享的资源。 S0 t" r. i! @% T1 B. ^
我组建了一些社群一起交流,群里有大牛也有小白,如果你有意可以一起进群交流。
4 K1 R0 _3 I% A. ?" F
ucdvdugyyf364027648612.png
4 ^' R1 P4 o) b1 E0 O1 E5 d0 k" H
欢迎你添加我的微信,我拉你进技术交流群。此外,我也会经常在微信上分享一些计算机学习经验以及工作体验,还有一些内推机会。
) K. ]3 ^5 |% b% N3 y1 }$ {- l: T: S5 P8 O1 l$ ?9 Y' H# x% j6 ]* i' k
5eyjpnshdqw64027648712.png
4 n, H( P9 G) x
加个微信,打开另一扇窗
) i9 o$ r5 {9 L1 Q: z% Y% X7 H
4i0gm4kqcj464027648812.gif
| 
电子产业一站式赋能平台
窥视卡
置顶卡
变色卡
