差点引爆全球的核弹,深度分析XZ-Utils供应链后门投毒事件 XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在Debian、Ubuntu、CentOS等发行版仓库中。 2024年3月30日凌晨墨菲安全实验室监测发现,微软工程师Andres Freund在排查sshd服务异常时发现xz-utils的上游tar包被投毒...
2024.03.29 由微软工程师 Andres Freund 披露了开源项目 xz-utils 存在的后门漏洞,漏洞编号为 CVE-2024-3094,其通过供应链攻击的方式劫持 sshd 服务的身份认证逻辑,从而实现认证绕过和远程命令执行,该后门涉及 liblzma.so 版本为 5.6.0 和 5.6.1,影响范围包括Debian、Ubuntu、Fedora、CentOS、RedHat、OpenSUSE 等多...
他被认为是 XZ Utils 的两名主要开发者之一,对该项目的开发有多年的贡献。 与此同时,就在两天前,一个名为 Jia Tan 的新用户提议在Ubuntu 软件源中包含受损包,将其呈现为常规错误修复更新。幸运的是,那件事没有发生。 “鉴于这个问题在 Debian 中已被撤销,不应将其同步到 Ubuntu 中。” 一位Fedora 开发人...
3月25日,Hans Jansen、misoeater91、krygorin4545等用户开始推动在Debian等Linux发行版中加入后门版本XZ-Utils,Jia Tan也试图推动在Ubuntu的beta版本冻结前加入后门版本XZ-Utils,但没有成功。 3月29日,Andres Freund向开源项目安全邮件列表(https://www.openwall.com/lists/oss-security/2024/03/29/4)提醒XZ-Utils...
3月25日,Hans Jansen、misoeater91、krygorin4545等用户开始推动在Debian等Linux发行版中加入后门版本XZ-Utils,Jia Tan也试图推动在Ubuntu的beta版本冻结前加入后门版本XZ-Utils,但没有成功。 3月29日,Andres Freund向开源项目安全邮件列表(https://www.openwall.com/lists/oss-security/2024/03/29/4)提醒XZ-Utils...
3月25日,Hans Jansen、misoeater91、krygorin4545等用户开始推动在Debian等Linux发行版中加入后门版本XZ-Utils,Jia Tan也试图推动在Ubuntu的beta版本冻结前加入后门版本XZ-Utils,但没有成功。 3月29日,Andres Freund向开源项目安全邮件列表(https://www.openwall.com/lists/oss-security/2024/03/29/4)提醒XZ-Utils...
XZ-Utils 包含 liblzma、xz 等组件,是 Linux、Unix 等 POSIX 兼容系统中广泛用于处理 .xz 文件的套件。该套件在 ubuntu、debian、centos 等发行版仓库中均有集成。2024年3月30日,安全社区披露其存在恶意后门风险,且被分配了漏洞编号(CVE-2024-3094)。该后门存在于 XZ Utils 的5.6.0和5.6.1版本中。由于SSH ...
在Linux中查询和使用XZ Utils,可以按照以下步骤进行: 1. 确定XZ Utils包在Linux中的具体名称 XZ Utils在大多数Linux发行版中的包名通常为xz-utils。 2. 查询Linux系统中是否已安装XZ Utils 你可以使用包管理器来检查XZ Utils是否已经安装。以下是一些常见Linux发行版的查询命令: 对于基于Debian的系统(如Ubuntu): ...
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在Debian、Ubuntu、CentOS等发行版仓库中。 2024年3月30日凌晨墨菲安全实验室监测发现,微软工程师Andres Freund在排查sshd服务异常时发现xz-utils的上游tar包被投毒,并报告给oss-security社区。
套件: xz-utils (5.6.1+really5.4.5-1) [ports] xz-utils 的相關超連結 Ubuntu 的資源: 報告問題 下載原始碼套件 xz-utils: [xz-utils_5.6.1+really5.4.5-1.dsc] [xz-utils_5.6.1+really5.4.5.orig.tar.xz] [xz-utils_5.6.1+really5.4.5-1.debian.tar.xz] 維護者: Ubuntu Core Developers...