Bendi新闻
>
“潜伏” 3 年想植入后门,最终被 Bug 打败了

“潜伏” 3 年想植入后门,最终被 Bug 打败了

7月前

推荐关注↓

转自:OSC开源社区

红帽发布了一份 “针对 Fedora Linux 40 和 Fedora Rawhide 用户的紧急安全警报” 指出,最新版本的 xz 5.6.0/5.6.1 工具和库中包含恶意代码,可能允许未经授权的远程系统访问。

xz 是一种通用数据压缩格式,几乎存在于每个 Linux 发行版中,包括社区项目和商业产品发行版。

从本质上讲,它有助于将大文件格式压缩(然后解压缩)为更小、更易于管理的大小,以便通过文件传输进行共享。

红帽已经该漏洞标记为 CVE-2024-3094。目前的调查表明,这些软件包仅存在于 Red Hat 社区生态系统内的 Fedora 41 和 Fedora Rawhide 中,Red Hat Enterprise Linux (RHEL) 的所有版本均不受影响。

安全研究人员 Andres Freund 进行的逆向工程分析发现,恶意代码使用巧妙的技术来逃避检测。更多详情可查看此 oss-security 列表。

值得一提的是,目前 GitHub 已全面禁用了 tukaani-project/xz 仓库,并附有一条信息:

由于违反了 GitHub 的服务条款,GitHub 工作人员已禁止访问该版本库。如果您是该版本库的所有者,可以联系 GitHub 支持部门了解详情。


据称向 xz 添加恶意代码的攻击者被认为处心积虑,潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号,之后积极参与了 xz-utils 的开发,获取信任之后成为了该项目的维护者之一。


过去几个月,JiaT75 开始非常巧妙的悄悄加入恶意代码,“分阶段通过添加测试用例数据为掩盖放入了恶意代码,并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本,在库中添加了劫持某 OpenSSL 函数的功能,添加了一个 SSH 后门。


”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者,以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug,会导致崩溃等,此人随后与 Linux 开发者们频繁联络通信,试图修复问题,并建议他们发现问题后不要公开。


目前 JiaT75 的账号以及 xz-utils 库都已被 GitHub 关闭。



xz 后门事件凸显了维护者在维护一个基本上不会得到多少外界帮助的开源项目时所面临的挑战,当别有用心的人热情提供帮助,你真的难以分辨对方是真心还是假意。


对于 xz 项目原唯一维护者 Lasse Collin 邮件列表交流的分析显示,这位维护者早就筋疲力尽了,他承认如果有 bug 会去修,但开发新功能基本上不可能了。


这种情况在 JiaT75(Jia Tan)积极提供帮助后发生了变化,Jia Tan 是少数或者可能是唯一一位愿意“帮助”而不是抱怨开发停滞的人。


Lasse Collin 表示考虑让 Jia Tan 扮演更重要的角色,甚至让其接手维护。对于不断抱怨和提出要求的用户,他强调这是一个无薪水的业余项目。在“用户”不断的要求之下,Jia Tan 成为了项目的共同维护者。



相关链接
https://www.solidot.org/story?sid=77737
https://www.solidot.org/story?sid=77741
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27


- EOF -

推荐阅读  点击标题可跳转

1、就删了个 printf,代码崩了!

2、Sora 的第一波受害者出现了

3、李彦宏诚不欺我?全球首位 AI 程序员来了

4、谷歌:不建议未成年人接触 C++,太过危险

5、2024年,只有搞颜色的 P 站真正关心网站性能


关注「程序员的那些事」加星标,不错过圈内事

点赞和在看就是最大的支持❤️

微信扫码关注该文公众号作者

来源:程序员的那些事

相关新闻

Firefox长达21年的 “陈年老bug”,终于被修复了!“土猪拱白菜”学霸现状令人唏嘘:考上浙大,被骂3年,面相都变了……“土猪拱白菜”学霸现状令人唏嘘:考上浙大,被骂3年,面相已经变了……年入22亿!广东人的“相亲天堂”,被羽毛球拿捏了xz活跃维护者“潜伏”三年——添加恶意代码、植入SSH后门不满咕咾肉“烧焦了”,澳男持枪大闹中餐馆,被老板一招制服!获刑3年半还记得被“禁止整容”的小芈月吗?2岁出道年入百万,却在人气高涨时退圈,如今她怎样了?好好的数学老师不当,去山野「流浪」了 3 年,也太爽了!太惨!华人房东遇「租霸」3年被欠$7.2万!房子遭偷转租!空手套白狼!“双减”眼看3年了,教培补课却又要回归了?我,魔都一线国际高中“外地生”,住了3年酒店,学费补习“烧”掉120万太想“进步”了?市委书记被骗500万元,还帮骗子的女儿安排工作!曾因接听热线获网友点赞高考3年后,“土猪”少年怂了:活着挺好,死了也没事…注意!华人妈妈「带娃回国探亲」被判3年监禁!航班起飞4小时后返航美国加州男炸鸡时发生意外,最后被“烤熟”了,恐怖画面,胆小慎入一年学费50万,他们咬牙把孩子送进开在北京的“美高”,3年后真香了……他潜伏三年想插它后门,最终还是输给了另一个他被封“轻生胜地”...关停3年,纽约著名地标要重开!他是国家一级演员,被印在了“冥币”上,想打官司却找不到人,后来怎么样了?“实在撑不下去了”!一女教师最终被确诊……不用预制菜,年入3亿!最会“偷懒”网红店,为何暴击北上广?中国乒乓球天才少女入澳籍,却被“禁赛”7年,恐无缘巴黎奥运北漂月入三万,被「县城文学」整破防了打脸~我推荐了3年的童装品牌“摆烂”了!
logo
联系我们隐私协议©2024 bendi.news
Bendi新闻
Bendi.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Bendi.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。