其原因包括: 存在后门版本的xz-utils 5.6.0最早发布于2024年2月24日,被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch Linux等少数仓库集成,还没有被大规模应用,CentOS/Redhat/Ubuntu/Debian/Fedora等的stable仓库都不受影响。 对于MacOS用户,通...
3月25日,Hans Jansen、misoeater91、krygorin4545等用户开始推动在Debian等Linux发行版中加入后门版本XZ-Utils,Jia Tan也试图推动在Ubuntu的beta版本冻结前加入后门版本XZ-Utils,但没有成功。 3月29日,Andres Freund向开源项目安全邮件列表(https://www.openwall.com/lists/oss-security/2024/03/29/4)提醒XZ-Utils...
差点引爆全球的核弹,深度分析XZ-Utils供应链后门投毒事件 XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在Debian、Ubuntu、CentOS等发行版仓库中。 2024年3月30日凌晨墨菲安全实验室监测发现,微软工程师Andres Freund在排查sshd服务异常时发现xz-utils的上游tar包被投毒...
在Linux中查询和使用XZ Utils,可以按照以下步骤进行: 1. 确定XZ Utils包在Linux中的具体名称 XZ Utils在大多数Linux发行版中的包名通常为xz-utils。 2. 查询Linux系统中是否已安装XZ Utils 你可以使用包管理器来检查XZ Utils是否已经安装。以下是一些常见Linux发行版的查询命令: 对于基于Debian的系统(如Ubuntu): ...
de/man1/xzegrep.1.gz /usr/share/man/de/man1/xzfgrep.1.gz /usr/share/man/de/man1/xzgrep.1.gz /usr/share/man/de/man1/xzless.1.gz /usr/share/man/de/man1/xzmore.1.gz /usr/share/man/fr/man1/lzcat.1.gz /usr/share/man/fr/man1/lzcmp.1.gz /usr/share/man/fr/man1/lz...
3月25日,Hans Jansen、misoeater91、krygorin4545等用户开始推动在Debian等Linux发行版中加入后门版本XZ-Utils,Jia Tan也试图推动在Ubuntu的beta版本冻结前加入后门版本XZ-Utils,但没有成功。 3月29日,Andres Freund向开源项目安全邮件列表(https://www.openwall.com/lists/oss-security/2024/03/29/4)提醒XZ-Utils...
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在Debian、Ubuntu、CentOS等发行版仓库中。 2024年3月30日凌晨墨菲安全实验室监测发现,微软工程师Andres Freund在排查sshd服务异常时发现xz-utils的上游tar包被投毒,并报告给oss-security社区。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。 6. 幸运的是,Andres Freund*commiter*在做一些微基准测试,看到 sshd 进程使用了惊人数量的 CPU,随后顺藤摸瓜发现了这个阴谋并报告给 linux-distros,然后报告给 oss-security。致使此事败漏。
XZ-Utils 包含 liblzma、xz 等组件,是 Linux、Unix 等 POSIX 兼容系统中广泛用于处理 .xz 文件的套件。该套件在 ubuntu、debian、centos 等发行版仓库中均有集成。2024年3月30日,安全社区披露其存在恶意后门风险,且被分配了漏洞编号(CVE-2024-3094)。该后门存在于 XZ Utils 的5.6.0和5.6.1版本中。由于SSH ...
3月21日,有人以该开发者的名义访问Ubuntu开发者网站,要求将后门版本5.6.1合并到生产版本中,因为它修复了导致Valgrind工具出现故障的错误。 “这可能会破坏构建脚本和测试通道,这些脚本和测试通道需要Valgrind的特定输出才能通过,”该人士在同一天创建的帐户中警告说。 Fedora的一位维护人员上周五表示,该开发人员最近几...