1
AoEiuV020JP 31 天前
一直没用过 xz ,更喜欢 gz ,有没有什么常见的软件是内部使用 xz 并中招了的?
|
2
NewYear 31 天前
需要明确哪些知名的具体发型版本、软件、库中招了。。。
真的没法一个个去查,普通人太难了。 |
3
kaedeair 31 天前
@AoEiuV020JP 很多源码是 xz 打包的,主要影响的是 lzma ,7z 的默认算法就是这玩意,很多底层的压缩算法都依赖 lzma
|
5
Eillott 31 天前 via Android 1
需要回滚到这个老哥第一次提交代码前,他的代码都不可信任,肉眼 review 很难发现问题的
|
6
jim9606 31 天前 via Android
@AoEiuV020JP
受影响的是属于 xz-utils 项目的 liblzma,后者只要用到 lzma 就有可能中招,只是这次攻击代码只针对 systemd+openssh ,分别用来压缩日志和 ssh 流量。 lzma 作为目前最高压缩率的无损压缩算法,应用范围就广了,只是使用方可能选择自己实现而不是链接 liblzma 罢了 @NewYear 5.6.0/5.6.1 ,不是滚动发行版基本碰不到,太新了。 |
7
jjianwen68 31 天前
fbi 或国际刑警会追查这人吗
|
8
GTim 31 天前
5.2.2
|
9
Mrun 31 天前
这种基础软件被植入后门,影响太大了
|
11
conan257 31 天前
国内关注这个的很少吧?
|
13
tabris17 31 天前
5.6 很新的版本,只有尝鲜的滚动发行版才会中招,使用各大 LTS 的不用担心
|
14
blessingsi 31 天前
我看很多人说这个作者“潜伏”了三年,有没有可能作者之前三年真的在认真维护,最近因为某种原因(比如现实中没钱了)开始做恶,或者更善意的假设一下,只是单纯手抖多打了一个 '.'。 现在有没有人审查他之前提交的代码呀。
|
15
mnsw 31 天前
xz (XZ Utils) 5.4.1
liblzma 5.4.1 基本都是这个版本 |
16
xycost233 31 天前 1
@blessingsi 善意的假设也不可能认为他通过提交声称“无意义”的测试文件,然后通过改编译流程的方式内嵌恶意代码的方法是不小心的
麻烦先看新闻再评论 |
17
jhdxr 31 天前 2
@blessingsi 要是手抖能分别在这么多个 commit 中完成定向地投毒,我宁可相信猴子也能写出莎翁全集。
|
18
k9982874 31 天前
看了看我的 arch ,目前使用到 liblzma 的只有 libelf ,版本是 liblzma.so=5-64 ,然而 libelf 被 mesa 引用。
mesa 驱动被投毒,这是全军覆没了吧 |
19
leostone 31 天前 1
@blessingsi #14 感觉不太可能 现在对这个人的个人信息 好像没任何人爆料 (说明这个人一开始就隐藏了个人信息) 如果是单纯的维护 感觉没必要这么做
|
20
shiji 31 天前 via iPhone
@blessingsi 也许现在的这个人不是账号的主人,但是拿到了管理权
|
21
kenilalexandra 31 天前
据说 xz 的 5.4.x 版本也被植入病毒了,不仅仅只影响 5.6.x
|
22
kenilalexandra 31 天前
@dyv9 不一定是潜伏啊,被盗号也有可能?
|
23
e3c78a97e0f8 31 天前 1
@blessingsi 你没有看完整整个事情,那个点只是他做的事情之一,并不是后门的主体
|
24
afei418 31 天前 via Android
哈,termux ,升级后从 5.6.1 降级到了 5.4.5.
|
25
ZeroAsh 31 天前
自从给我的机器装了 k8s 之后好久都没 sudo pacman -Syu 过了,看了下 xz -V 还是 5.4.5 ,应该躲过一劫(诶嘿
|
26
type 31 天前 1
此人在另一个项目,将 safe_fprintf 改 fprintf:
https://github.com/libarchive/libarchive/pull/1609 |
27
Seria 31 天前
所有服务器均是 5.2.2
|
28
blessingsi 31 天前
|
29
levelworm 31 天前 via Android
话说谁看懂了那个后门?
|
31
sunzhenyucn 30 天前
不是原作者,而是后来接手的 Maintainer "Tan Jia",其实这个互动意外的很有趣且发人深省,可以参考这篇发布[在 Medium 上的文章]( https://robmensching.com/blog/posts/2024/03/30/a-microcosm-of-the-interactions-in-open-source-projects/),人无完人吧
|
32
gamexg 30 天前
@blessingsi #14 不太像,他前期将项目源码的第三方安全检查功能的邮箱改为了自己的邮箱,并关闭了部分检查功能, 并且忽略掉了自己投毒的文件. 看起来是怕自己的修改被安全检查发现.
另外对其他项目也做了一些危险的可疑修改. |
33
Beebird 30 天前
|
34
xycost233 30 天前 2
好家伙有分析认为这个逼可能是个假华裔,冒充自己在+8 时区
https://www.solidot.org/story?sid=77748 |
38
icebergSnow 30 天前 via iPhone
你的头像哪来的,好睿智哈哈哈😆
|
39
iOCZS 30 天前
下毒者妥妥一枚心机 boy 啊
|
41
MiketsuSmasher 30 天前
@blessingsi 您是说该作者在 xz-utils 源代码里无意中多打了一个点,而且还无意中修改了编译流程,无意中内嵌了恶意代码,并且在 libarchive 中也无意地干了差不多的事,是这样的吗?😅
|
42
lovelylain 30 天前 via Android
@afei418 更新 repo 前
xz-utils/now 5.2.5-1 aarch64 [installed,upgradable to: 5.6.1] 更新后 xz-utils/now 5.2.5-1 aarch64 [installed,upgradable to: 5.6.1+really5.4.5] |
43
zhongjun96 30 天前
@lilei2023 #12 国内用户更新不会这么快,昨天检查了几十台服务器,都是 5.2 版本
|
44
Rache1 30 天前
|
45
tibbers08 30 天前
查了下 centos xz 版本为 5.6.1 , 要咋降级?
|
46
lujiaxing 30 天前
@iOCZS 心机什么 BOY....
这种多重隐藏的后门, 而且还是调查了相关人员的行为习惯之后加进去的后门, 基本上可以认定是某个国家的政府行为了. 为的是给对手国家埋雷 |
47
Jeff1234567 29 天前
mac 上有 xz 5.6 版本问题大么
|
51
MapleEve 29 天前
@Jeff1234567 大,brew upgrade 一键降级
|