3月25日,Hans Jansen、misoeater91、krygorin4545等用户开始推动在Debian等Linux发行版中加入后门版本XZ-Utils,Jia Tan也试图推动在Ubuntu的beta版本冻结前加入后门版本XZ-Utils,但没有成功。 3月29日,Andres Freund向开源项目安全邮件列表(https://www.openwall.com/lists/oss-security/2024/03/29/4)提醒XZ-Utils...
所以,这次xz被植入后门事件,很可能就是Jia Tan的主观恶意行为。上周四,有人冒用了这位开发者的名字,在Ubuntu的开发者社区中请求将含后门的5.6.1版本纳入正式发布,理由是它修复了一个导致Valgrind工具出错的问题。还有人发现,近几周这位开发者也向他们提出了类似的请求,希望在Fedora 40的测试版本中使用这个带...
所以,这次xz被植入后门事件,很可能就是Jia Tan的主观恶意行为。 上周四,有人冒用了这位开发者的名字,在Ubuntu的开发者社区中请求将含后门的5.6.1版本纳入正式发布,理由是它修复了一个导致Valgrind工具出错的问题。 还有人发现,近几周这位开发者也向他们提出了类似的请求,希望在Fedora 40的测试版本中使用这个带有后...
Debian(XZ测试版本5.5.1alpha-0.1 至 5.6.1-1) XZ供应链影响系统查询:https://repology.org/project/xz/version 不受影响版本 XZ Utils < 5.6.0 注:因植入后门的开发者于2021年开始参与维护,安全起见建议用户将XZ-Utils降级至5.4或之前版本。 CentOS/Redhat/Ubuntu/Debian/Fedora等stable仓库不受影响。 四、...
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在Debian、Ubuntu、CentOS等发行版仓库中。 2024年3月30日凌晨墨菲安全实验室监测发现,微软工程师Andres Freund在排查sshd服务异常时发现xz-utils的上游tar...
2024.03.29 由微软工程师 Andres Freund 披露了开源项目 xz-utils 存在的后门漏洞,漏洞编号为 CVE-2024-3094,其通过供应链攻击的方式劫持 sshd 服务的身份认证逻辑,从而实现认证绕过和远程命令执行,该后门涉及 liblzma.so 版本为 5.6.0 和 5.6.1,影响范围包括Debian、Ubuntu、Fedora、CentOS、RedHat、OpenSUSE 等多...
他发现,在这款名为xz Utils的工具的5.6.0和5.6.1版本中,都含有恶意代码。 而且,这段恶意代码极其复杂难解。 扒着扒着人们发现,这段代码是由一位名为Jia Tan的用户(JiaT75),通过四次代码变更(也即在GitHub上「提交」)的方式,植入到了Tukaani项目中。
令人震惊的是,初步调查结果表明,这些有害的修改是由一个名为 JiaT75 的用户提交的。他被认为是 XZ Utils 的两名主要开发者之一,对该项目的开发有多年的贡献。 与此同时,就在两天前,一个名为 Jia Tan 的新用户提议在Ubuntu 软件源中包含受损包,将其呈现为常规错误修复更新。幸运的是,那件事没有发生。
在Ubuntu中解压.xz文件,可以按照以下步骤操作: 安装xz-utils工具包: 如果你还没有安装xz-utils工具包,可以使用以下命令进行安装: bash sudo apt install xz-utils 使用xz命令解压.xz文件: 安装完成后,你可以使用xz命令来解压.xz文件。基本命令格式如下: bash xz -d filename.xz 这里,filename.xz是你要解压...
XZ-Utils 包含 liblzma、xz 等组件,是 Linux、Unix 等 POSIX 兼容系统中广泛用于处理 .xz 文件的套件。该套件在 ubuntu、debian、centos 等发行版仓库中均有集成。2024年3月30日,安全社区披露其存在恶意后门风险,且被分配了漏洞编号(CVE-2024-3094)。该后门存在于 XZ Utils 的5.6.0和5.6.1版本中。由于SSH ...