目前,Fedora ,Arch Linux 和 openSUSE 等多个发行版向用户发出了警告,要求用户立即降级或升级到不存在后门或已经去除后门的 xz-utils 版本。 www.openwall.com/lists/oss-security/2024/03/29/4 lwn.net/Articles/967180/

一直没用过 xz ,更喜欢 gz ,有没有什么常见的软件是内部使用 xz 并中招了的?

需要明确哪些知名的具体发型版本、软件、库中招了。。。真的没法一个个去查,普通人太难了。

很多源码是 xz 打包的,主要影响的是 lzma ,7z 的默认算法就是这玩意,很多底层的压缩算法都依赖 lzma

运行一下 xz -V ,看下版本,5.6 的就不行

需要回滚到这个老哥第一次提交代码前,他的代码都不可信任,肉眼 review 很难发现问题的

受影响的是属于 xz-utils 项目的 liblzma,后者只要用到 lzma 就有可能中招,只是这次攻击代码只针对 systemd+openssh ,分别用来压缩日志和 ssh 流量。lzma 作为目前最高压缩率的无损压缩算法,应用范围就广了,只是使用方可能选择自己实现而不是链接 liblzma 罢了 5.6.0/5.6.1 ,不是滚动发行版基本碰不到,太新了。

fbi 或国际刑警会追查这人吗

5.2.2

这种基础软件被植入后门,影响太大了

听说人家潜伏 3 年了。得回到 3 年前?

国内关注这个的很少吧?

是啊,奇怪,我看外讨论得挺热闹的,国内没啥动静(个人感觉)

5.6 很新的版本,只有尝鲜的滚动发行版才会中招,使用各大 LTS 的不用担心

我看很多人说这个作者“潜伏”了三年,有没有可能作者之前三年真的在认真维护,最近因为某种原因(比如现实中没钱了)开始做恶,或者更善意的假设一下,只是单纯手抖多打了一个 '.'。 现在有没有人审查他之前提交的代码呀。

xz (XZ Utils) 5.4.1liblzma 5.4.1基本都是这个版本

善意的假设也不可能认为他通过提交声称“无意义”的测试文件,然后通过改编译流程的方式内嵌恶意代码的方法是不小心的麻烦先看新闻再评论

要是手抖能分别在这么多个 commit 中完成定向地投毒,我宁可相信猴子也能写出莎翁全集。

看了看我的 arch ,目前使用到 liblzma 的只有 libelf ,版本是 liblzma.so=5-64 ,然而 libelf 被 mesa 引用。mesa 驱动被投毒,这是全军覆没了吧

#14 感觉不太可能 现在对这个人的个人信息 好像没任何人爆料 (说明这个人一开始就隐藏了个人信息) 如果是单纯的维护 感觉没必要这么做

也许现在的这个人不是账号的主人,但是拿到了管理权

据说 xz 的 5.4.x 版本也被植入病毒了,不仅仅只影响 5.6.x

不一定是潜伏啊,被盗号也有可能?

你没有看完整整个事情,那个点只是他做的事情之一,并不是后门的主体

哈,termux ,升级后从 5.6.1 降级到了 5.4.5.

自从给我的机器装了 k8s 之后好久都没 sudo pacman -Syu 过了,看了下 xz -V 还是 5.4.5 ,应该躲过一劫(诶嘿

此人在另一个项目,将 safe_fprintf 改 fprintf: github.com/libarchive/libarchive/pull/1609

所有服务器均是 5.2.2

我的问题,没有了解整个上下文,肯定是恶意代码

话说谁看懂了那个后门?

#17目测至少要比误触预定小米汽车并锁单的用户更加手抖才行

不是原作者,而是后来接手的 Maintainer "Tan Jia",其实这个互动意外的很有趣且发人深省,可以参考这篇发布在 Medium 上的文章,人无完人吧

#14 不太像,他前期将项目源码的第三方安全检查功能的邮箱改为了自己的邮箱,并关闭了部分检查功能, 并且忽略掉了自己投毒的文件. 看起来是怕自己的修改被安全检查发现.另外对其他项目也做了一些危险的可疑修改.

昨天有个帖子里有检测脚本,可以直接执行: bash <(curl -sL www.openwall.com/lists/oss-security/2024/03/29/4/3)

好家伙有分析认为这个逼可能是个假华裔,冒充自己在+8 时区 www.solidot.org/story?sid=77748

#33 有没有可能这个网站的脚本被替换了,请求的时候如果 ua 是 curl ,就有一定概率返回一个恶意脚本 。。。

有,所以我一般先 curl -o 下载下来看一遍。
最近安装的树莓派也有 xz ,版本是 5.2X ,没事了。谢谢

你的头像哪来的,好睿智哈哈哈😆

下毒者妥妥一枚心机 boy 啊

既然说潜伏,就不可能姓名也不伪装的。

您是说该作者在 xz-utils 源代码里无意中多打了一个点,而且还无意中修改了编译流程,无意中内嵌了恶意代码,并且在 libarchive 中也无意地干了差不多的事,是这样的吗?😅

更新 repo 前xz-utils/now 5.2.5-1 aarch64 [installed,upgradable to: 5.6.1]更新后xz-utils/now 5.2.5-1 aarch64 [installed,upgradable to: 5.6.1+really5.4.5]

#12 国内用户更新不会这么快,昨天检查了几十台服务器,都是 5.2 版本

#38 前几天很火的HackerNews 上看到的 [丑丑头像生成器] - V2EX www.hesudu.com/t/1027006

查了下 centos xz 版本为 5.6.1 , 要咋降级?

心机什么 BOY....这种多重隐藏的后门, 而且还是调查了相关人员的行为习惯之后加进去的后门, 基本上可以认定是某个国家的政府行为了. 为的是给对手国家埋雷