xz爆出10分的核弹级漏洞,开源社区的仓库都被炸没了

这篇具有很好参考价值的文章主要介绍了xz爆出10分的核弹级漏洞,开源社区的仓库都被炸没了。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

左手编程,右手年华。大家好,我是一点,关注我,带你走入编程的世界。

公众号:一点sir,关注领取python编程资料

这可能是2024年安全界的第一大瓜,所有观众都将是这场事件史诗级安全事件的见证者。用一句比较吸眼球的话概括这个故事。

养父投毒差点毒死养子,社区委员会查封了该家的故事。

漏洞影响

该漏洞发生在压缩软件包xz,的CVE编号CVE-2024-3094

XZ压缩工具中被发现存在一个严重的安全漏洞,该漏洞被评为10分的危险性,意味着它具有极高的风险等级。这个后门允许攻击者在受影响的系统上远程执行任意代码,可能导致完全控制目标系统。漏洞起源于一个名为JiaT75的用户在GitHub上提交的恶意补丁,这个后门被安全研究人员发现并公开披露,引发了开源社区的广泛关注和紧急响应,以确保受影响的系统得到及时的修复和保护。

事件历程

这篇文章详细的介绍了整个过程,
https://boehs.org/node/everything-i-know-about-the-xz-backdoor

简单理一下整个时间线就是下面这样:

2021年,一个名为 JiaT75(Jia Tan)的用户在 GitHub 上创建了账户,并向 libarchive 项目提交了一个看似无害但实际可疑的补丁。这个补丁被合并到了代码中。

2022年,Jia Tan 通过邮件列表提交了一个补丁,随后一个新的人物 Jigar Kumar 开始施压要求合并这个补丁。不久之后,Jigar Kumar 开始向 XZ 项目的维护者 Lasse Collin 施压,要求增加另一位维护者。在这一过程中,JiaT75 开始对 XZ 项目做出贡献。

2023年,JiaT75 在 1 月 7 日合并了他们的第一个提交,表明他们已经获得了足够的信任。3 月份,Google 的 oss-fuzz 项目的主要联系邮箱被更新为 Jia 的邮箱。

2024年,有人发现并报告了一个上游 XZ/liblzma 库中的后门,这个后门可能导致 SSH 服务器被攻陷。这个发现通过电子邮件发送给了 oss-security 邮件列表,并在文章中提供了详细的技术分析。

因为这个10分的漏洞,xz的开源仓直接被github给封禁了,好家伙,貌似第一次见到因为一个漏洞封禁一个仓库的。

漏洞发现

毫不夸张的讲,这个漏洞差一点点就流入了linux各个发行版中了,如果成功被植入了,将会造成恐怖级的后果,相当于有人拿了一把万能钥匙,可以随时进出金库的大门,将会给世界的各个行业带来不可估量的损失,因为世界大部分行业后端服务器用的操作系统都是linux的各个发行版,像Redhat、Ubuntu、Fedora等,而xz又是非常基础的压缩组件,基本上都会默认安装。

这个漏洞被发现,也是一个很偶然的机会。一个名叫Andres Freund的测试人员观察到在 Debian sid 安装上使用 liblzma(xz 包的一部分)时出现了一些异常症状,通过 SSH 登录时 CPU 使用率异常高,对 sshd 进行分析,显示 liblzma 占用了很多 CPU 时间,但 perf 无法将其归因于任何符号。他发现上游 xz 仓库和发布的 xz 压缩包被植入了后门。

JiaT75是谁

但是目前没有任何关于JiaT75的身份确切消息,由于GitHub是一个全球参与者都可以参加的社区,用户遍布全球各地,JiaT75主页除了邮箱,没有给出任何有用的信息,有人推测是中国的龙芯公司,但这只是胡乱推测的。

不过JiaT75真是个狠人呀,既有技术,又有耐心,精心谋划了3年呀,有这耐心,如果放到正道上,啥不能成功啊!

对开源社区影响

该事件可能会对开源社区产生很大的影响,开源项目和其贡献者可能会面临更加严格的审查,以确保代码的安全性和可靠性。以往的漏洞都是贡献者没有考虑周到,也就是说是无心的,但这个赤裸裸自己植入后门真的很让人后怕的。未来开源社区可能会寻求更好的方法来监控和审计代码变更,例如通过自动化工具和更全面的代码审查流程。

后记

大家好,为了方便粉丝学习Python,专门为大家准备了一份非常全面的学习资料,里面不仅包含学习路线,还有计算机基础、数据库资料、网络、Python学习等全部的资料,供大家学习成长。下图是我们准备的文件列表!

由于学习的资料内容比较多,现在我们为大家展示部分的内容。计算机网络入门书:资料内容:这个图画的很漂亮啊,看起来就是作者在用心画的,而且排版非常精美,看起来一点不枯燥。

Python入门书:资料内容:本书是一本针对所有层次的 Python 读者而作的 Python 入门书。全书分两部分 :第一部分介绍用Python 编程所必须了解的基本概念;第二部分将理论付诸实践,讲解如何开发项目,并帮读者解决常见编程问题和困惑。

在这里我们就不一一展示资料了,现在这些资料的 PDF 免费分享给你,你可以扫描下方二维码回复 1212 来领取这些 PDF。

关注公众号:一点sir(alittle-sir),回复1212,领取资料
文章来源地址https://www.toymoban.com/news/detail-844370.html

到了这里,关于xz爆出10分的核弹级漏洞,开源社区的仓库都被炸没了的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 香蕉派社区推出带10G SFP+ 端口的Banana Pi BPI-R4 Wifi7开源路由器

    根据著名Banana Pi品牌背后的公司Sinovoip提供的初步信息,他们即将推出的 Banana Pi BPI-R4 路由器板目前正在开发中。与之前的 Banana Pi R3 板相比,这在规格上将有显着提升。这就是我们目前所知道的。 您可以选择 R4 板的两种不同配置。具有一对 SFP+ 光纤笼,或 2.5Gbps RJ45 以太网

    2024年02月11日
    浏览(38)
  • 龙蜥社区「人人都可以参与开源」—— 走进“龙蜥社区”感受开源魅力

    🎬 鸽芷咕 :个人主页  🔥 个人专栏 : 《linux深造日志》《粉丝福利》 ⛺️生活的理想,就是为了理想的生活!    开源这个我相信各位开发者们或多或少都听说过,简单来讲开源就是源码开放,但是不意味着使用没有限制,具体规定要根据软件的开源协议来决定。

    2024年04月11日
    浏览(54)
  • 开源软件介绍——国内和国际主要开源社区

    我是荔园微风,作为一名在IT界整整25年的老兵,今天我们来看一看国内和国际上有哪些主要开源社区。 开源社区又称为开放源代码社区,一般由拥有共同兴趣爱好的人组成。根据相应的开源软件许可证协议公布软件源代码的网络平台,同时也为网络成员提供一个自由学习和

    2024年02月10日
    浏览(40)
  • 龙蜥社区「人人都可以参与开源」——体验开源成为“开源人“

    在追求技术的路上少不了分享与合作,面对难解的问题可以从别人的分享中获取撬动壁垒的杠杆,开源是每一位技术人员在提升自我中不可或缺的。近来,我有机会认识到了 龙蜥社区 并在这个开放式的平台里我通过一次开源任务的学习体验到了成为 \\\"开源人\\\" 快乐。 龙蜥社区

    2024年04月11日
    浏览(43)
  • 开源问答社区软件Answer

    什么是 Answer ? Answer 是一个开源的知识型社区软件。您可以使用它快速建立您的问答社区,用于产品技术支持、客户支持、用户交流等。 Answer 是国内 SegmentFault 思否团队开发的技术问答社区, Answer 不仅拥有搭建问答平台( QA Platform )的基础功能,还加入了标签内容管理、

    2024年02月05日
    浏览(42)
  • OpenHarmony开源社区快速入门(一)

    本文主要介绍windows下基于命令行的方式搭建所需要的OpenHarmony开发环境; 1、首先打开微软商店,搜索Ubuntu,下载ubuntu(以20.04为例) 2、下载完成后需在设置中打开开发人员模式:打开设置-安全和更新-开发者选项,选择为“开发人员模式” 3、Win + R运行control appwiz.cpl指令,在启

    2024年02月07日
    浏览(47)
  • 长亭社区版WAF部署(开源)

    项目地址 1、确保已经正确安装docker和docker-compose,compose推荐使用v2版本,v1可能会有兼容性等问题 2、安装部署 1.机器运行的最低配置 最低 1G 能运行,具体需要多少配置取决于你的业务流量特征,比如 QPS、网络吞吐等等 2.下载软件包 3.配置文件执行权限 4.解压文件 5.启动文

    2024年02月11日
    浏览(50)
  • Linux中国开源社区停止运营

    昨天看到老王发的公众号文章,Linux中国开源社区停止运营了。 关注到「硬核老王」是近几年的事,也经常看一些Linux中国公众号上的文章以及视频号视频。去年在深度开源之夜有幸与老王有过一面之缘。看到消息感觉很突然。 Linux.cn 这个域名很拉风,也感慨老王十几年如一

    2024年02月19日
    浏览(37)
  • SolidUI社区-从开源社区角度思考苹果下架多款ChatGPT应用

    随着文本生成图像的语言模型兴起,SolidUI想帮人们快速构建可视化工具,可视化内容包括2D,3D,3D场景,从而快速构三维数据演示场景。SolidUI 是一个创新的项目,旨在将自然语言处理(NLP)与计算机图形学相结合,实现文生图功能。通过构建自研的文生图语言模型,SolidUI 利用

    2024年02月14日
    浏览(45)
  • OpenCloudOS社区开源,助力软件开发

    早前红帽宣布限制源代码访问性的政策,并解释说RHEL相关源码仅通过CentOS Stream公开,付费客户和合作伙伴可通过Red Hat Customer Portal访问到源代码,由此也导致非客户获取源码越来越麻烦, 据了解,CentOS是红帽发行的社区版Linux,其上游原本是红帽的企业发行版Linux 系统 RHEL

    2024年02月12日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包