GitHub is where people build software. More than 150 million people use GitHub to discover, fork, and contribute to over 420 million projects.
GitHub is where people build software. More than 100 million people use GitHub to discover, fork, and contribute to over 420 million projects.
2021年 一个叫Jia Tan的用户在GitHub创建自己的账户JiaT75。 11月16日,Jia Tan在libarchive项目中提交了自己的第一个PR(Pull Request),标题是Added error text to warning when untaring with bsdtar.(使用bsdtar解包时增加错误文本警告) 但实际PR的内容却比该标题声明的多,比如将safe_fprint替换为不安全的变量。
当前GitHub已经关闭xz仓库、停止JiaT75、Lasse Collin账号,受影响的组件仓库大多已经回滚至5.6.0以前的版本,非滚动更新的发行版stable仓库不受影响。 投毒者JiaT75在2021年曾参与libarchive项目,存在可疑风险,社区已着手修复。 主要时间线 2021年1月26日,GitHub账号JiaT75创建 2021年10月19日,JiaT75向libarchive项目...
GitHub中5.6.0版本发布截图 同日,Debian unstable仓库开始集成5.6.0版本xz 3月29日 23时51分,Andres Freund向oss-security社区披露该后门情况 影响分析 投毒手法高明,但目前对真实场景的影响相对有限。其原因包括: 存在后门版本的xz-utils 5.6.0最早发...
一个叫Jia Tan的用户在GitHub创建自己的账户JiaT75。 11月16日,Jia Tan在libarchive项目中提交了自己的第一个PR(Pull Request),标题是Added error text to warning when untaring with bsdtar.(使用bsdtar解包时增加错误文本警告) 但实际PR的内容却比该标题声明的多,比如将safe_fprint替换为不安全的变量。而该项...
首先我们搭建分析环境,由于 xz-utils 后门事件披露后各 Linux 发行版为降低影响范围对 xz-utils/liblzma.so 进行了版本回退,以及攻击者只在 tarball 中分发包含后门代码的项目源码(即与 Github 项目主页的代码不一致,增加后门代码的隐蔽性),因此我们需要在下游发行版指定 commit 才能获取包含后门代码的源代码(xz-uti...
攻击者首先在2021年创建了一个GitHub账户,并在libarchive项目中提交了一个看似无害但实际可疑的补丁。这个补丁替换了一个安全的函数变体,可能引入了另一个漏洞。2022年 2月6日,攻击者首次向XZ Utils项目提交了一个表面上合法的补丁,此举是他们获得项目信任的开端。随后,名为Jigar Kumar和Dennis Ens的新角色出现...
自2021年起,化名Jia Tan(JiaT75)的攻击者因涉及XZ Utils等项目的后门事件在GitHub上引起注意,直至2024年3月31日账户被封。通过长期贡献代码,Jia Tan在开源社区建立信誉,利用该信任植入恶意代码至包括libarchive和oss-fuzz在内的多个项目,展示出深厚的技术实力,他精通Linux系统、ChaCha20加密算法和IFUNC技术。攻击者的...
目前GitHub 已关停整个 xz 项目,官方尚无最新版本,需对软件版本进行降级5.4.X,请关注官方新版本发布并及时更新。 Fedora Linux 40 用户需 xz 回退到 5.4.x 版本可参见: Urgent security alert for Fedora Linux 40 and Fedora Rawhide users