左手编程,右手年华。大家好,我是一点,关注我,带你走入编程的世界。
公众号:一点sir,关注领取python编程资料
这可能是2024年安全界的第一大瓜,所有观众都将是这场事件史诗级安全事件的见证者。用一句比较吸眼球的话概括这个故事。
养父投毒差点毒死养子,社区委员会查封了该家的故事。
漏洞影响
该漏洞发生在压缩软件包xz,的CVE编号CVE-2024-3094
。
XZ压缩工具中被发现存在一个严重的安全漏洞,该漏洞被评为10分的危险性,意味着它具有极高的风险等级。这个后门允许攻击者在受影响的系统上远程执行任意代码,可能导致完全控制目标系统。漏洞起源于一个名为JiaT75的用户在GitHub上提交的恶意补丁,这个后门被安全研究人员发现并公开披露,引发了开源社区的广泛关注和紧急响应,以确保受影响的系统得到及时的修复和保护。
事件历程
这篇文章详细的介绍了整个过程,
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
简单理一下整个时间线就是下面这样:
2021年,一个名为 JiaT75(Jia Tan)的用户在 GitHub 上创建了账户,并向 libarchive 项目提交了一个看似无害但实际可疑的补丁。这个补丁被合并到了代码中。
2022年,Jia Tan 通过邮件列表提交了一个补丁,随后一个新的人物 Jigar Kumar 开始施压要求合并这个补丁。不久之后,Jigar Kumar 开始向 XZ 项目的维护者 Lasse Collin 施压,要求增加另一位维护者。在这一过程中,JiaT75 开始对 XZ 项目做出贡献。
2023年,JiaT75 在 1 月 7 日合并了他们的第一个提交,表明他们已经获得了足够的信任。3 月份,Google 的 oss-fuzz 项目的主要联系邮箱被更新为 Jia 的邮箱。
2024年,有人发现并报告了一个上游 XZ/liblzma 库中的后门,这个后门可能导致 SSH 服务器被攻陷。这个发现通过电子邮件发送给了 oss-security 邮件列表,并在文章中提供了详细的技术分析。
因为这个10分的漏洞,xz的开源仓直接被github给封禁了,好家伙,貌似第一次见到因为一个漏洞封禁一个仓库的。
漏洞发现
毫不夸张的讲,这个漏洞差一点点就流入了linux各个发行版中了,如果成功被植入了,将会造成恐怖级的后果,相当于有人拿了一把万能钥匙,可以随时进出金库的大门,将会给世界的各个行业带来不可估量的损失,因为世界大部分行业后端服务器用的操作系统都是linux的各个发行版,像Redhat、Ubuntu、Fedora等,而xz又是非常基础的压缩组件,基本上都会默认安装。
这个漏洞被发现,也是一个很偶然的机会。一个名叫Andres Freund的测试人员观察到在 Debian sid 安装上使用 liblzma(xz 包的一部分)时出现了一些异常症状,通过 SSH 登录时 CPU 使用率异常高,对 sshd 进行分析,显示 liblzma 占用了很多 CPU 时间,但 perf 无法将其归因于任何符号。他发现上游 xz 仓库和发布的 xz 压缩包被植入了后门。
JiaT75是谁
但是目前没有任何关于JiaT75的身份确切消息,由于GitHub是一个全球参与者都可以参加的社区,用户遍布全球各地,JiaT75主页除了邮箱,没有给出任何有用的信息,有人推测是中国的龙芯公司,但这只是胡乱推测的。
不过JiaT75真是个狠人呀,既有技术,又有耐心,精心谋划了3年呀,有这耐心,如果放到正道上,啥不能成功啊!
对开源社区影响
该事件可能会对开源社区产生很大的影响,开源项目和其贡献者可能会面临更加严格的审查,以确保代码的安全性和可靠性。以往的漏洞都是贡献者没有考虑周到,也就是说是无心的,但这个赤裸裸自己植入后门真的很让人后怕的。未来开源社区可能会寻求更好的方法来监控和审计代码变更,例如通过自动化工具和更全面的代码审查流程。
后记
大家好,为了方便粉丝学习Python,专门为大家准备了一份非常全面的学习资料,里面不仅包含学习路线,还有计算机基础、数据库资料、网络、Python学习等全部的资料,供大家学习成长。下图是我们准备的文件列表!
由于学习的资料内容比较多,现在我们为大家展示部分的内容。计算机网络入门书:资料内容:这个图画的很漂亮啊,看起来就是作者在用心画的,而且排版非常精美,看起来一点不枯燥。
Python入门书:资料内容:本书是一本针对所有层次的 Python 读者而作的 Python 入门书。全书分两部分 :第一部分介绍用Python 编程所必须了解的基本概念;第二部分将理论付诸实践,讲解如何开发项目,并帮读者解决常见编程问题和困惑。
在这里我们就不一一展示资料了,现在这些资料的 PDF 免费分享给你,你可以扫描下方二维码回复 1212 来领取这些 PDF。文章来源:https://www.toymoban.com/news/detail-844370.html
关注公众号:一点sir(alittle-sir),回复1212,领取资料
文章来源地址https://www.toymoban.com/news/detail-844370.html
到了这里,关于xz爆出10分的核弹级漏洞,开源社区的仓库都被炸没了的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!