Linux 内核更新 XZ 补丁移除维护者 Jia Tan

Linux 内核更新 XZ 补丁移除维护者 Jia Tan XZ 项目维护者 Lasse Collin 发布了一组补丁集，更新了内核的 XZ 代码，其中一项变化是将 Jia Tan 移除出维护者名单。Jia Tan aka JiaT75 是臭名昭著的 XZ 后门事件的幕后黑手，这个名字可能是一个伪装，未必是华裔，他或他们在该项目潜伏了三年之久，获取信任之后成为了维护者，然后悄悄植入了后门代码。他或他们的真实身份至今仍然是一个谜。补丁的其它变化包括了许可证从 Public Domain 迁移到 BSD Zero Clause License，更新了文档，新的 ARM64 和 RISC-V 过滤器等等。 via Solidot

微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答

微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答 微软的回应包括针对受此漏洞影响的用户的关键建议。该公司建议将 XZ Utils 降级到安全版本，并使用 Microsoft Defender Vulnerability Management 和 Defender for Cloud。该漏洞是微软员工Andres Freund 在调查 Debian 系统 SSH 性能问题时 "意外 "发现的。弗罗因德注意到与 XZ Utils 更新相关的异常行为，从而发现了 XZ Utils 5.6.0 和 5.6.1 版本中故意植入的后门。该后门允许拥有正确私钥的攻击者利用 SSH 操作，授予他们对系统的 root 访问权限。后门通过五级加载器操作，操纵函数解析过程，使攻击者能够远程执行任意命令。以下是受该漏洞影响的 Linux 发行版：Fedora Rawhidehttps://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersFedora 41 测试版、不稳定版和实验版 5.5.1alpha-0.1 至 5.6.1-1。https:// Tumbleweed 和 openSUSE MicroOShttps://news.opensuse.org/2024/03/29/xz-backdoor/Kali Linuxhttps://www.kali.org/blog/about-the-xz-backdoor/值得注意的是，红帽企业 Linux（RHEL）版本不受影响。最流行的 Linux 发行版之一 Ubuntu 也没有受到影响，因为它使用的是 XZ Utils 的旧版本 5.4。除上述步骤外，还可检查您的 Linux 系统是否受该漏洞影响、在终端中运行 xz version 命令，检查系统中安装的 XZ Utils 版本。如果输出显示版本等于 5.6.0 或 5.6.1，则系统可能存在漏洞。如果您的系统正在运行易受攻击的 XZ Utils 版本，请立即采取行动更新系统，尤其是在使用基于 .deb 或 .rpm 的 glibc 发行版的情况下。优先更新在公开访问的 SSH 端口上使用 systemd 的系统，以降低直接风险。如果怀疑自己的系统可能已被入侵，还可以查看审计日志，查找任何可能表明存在未经授权访问或异常活动的异常情况。要了解微软的建议和详细的常见问题，请访问此处的微软技术社区页面。 ... PC版： 手机版：

xz 开发者植入后门破解 SSH 加密

xz 开发者植入后门破解 SSH 加密 Linux 上广泛使用的无损压缩软件包 xz-utils 被该项目的一位维护者秘密植入了后门，后门旨在绕过签名验证未经授权访问开放 SSH 端口的系统。存在后门的版本是 v5.6.0 和 v5.6.1，后门版本尚未进入 Linux 发行版的生产版本，因此影响范围有限，主要影响的是测试版本的 Debian 和 Red Hat 发行版，以及 Arch 和 openSUSE 等。攻击者被认为处心积虑，潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号，之后积极参与了 xz-utils 的开发，获取信任之后成为了该项目的维护者之一。过去几个月，JiaT75 开始非常巧妙的悄悄加入恶意代码，“分阶段通过添加测试用例数据为掩盖放入了恶意代码，并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本，在库中添加了劫持某 OpenSSL 函数的功能，添加了一个 SSH 后门。”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者，以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug，会导致崩溃等，此人随后与 Linux 开发者们频繁联络通信，试图修复问题，并建议他们发现问题后不要公开。目前 JiaT75 的账号以及 xz-utils 库都已被关闭。来源 ， 频道：@kejiqu 群组：@kejiquchat

广泛使用的实用程序中发现的后门可能导致Linux社区崩溃

广泛使用的实用程序中发现的后门可能导致Linux社区崩溃 微软的PostgreSQL开发人员安德烈斯-弗罗因德（Andres Freund）在进行一些例行的微基准测试时，注意到 ssh 进程出现了 600 毫秒的小延迟。一波未平一波又起，Freund 最终偶然发现了一种供应链攻击，其中涉及 XZ 软件包中被混淆的恶意代码。他将这一发现发布在开源安全邮件列表上，开源社区从此开始关注这一事件。开发社区迅速揭露了这一攻击是如何被巧妙地注入 XZ utils 的，XZ utils 是一个小型开源项目，至少自 2009 年以来一直由一名无偿开发人员维护。与违规提交相关的账户似乎玩起了长线游戏，慢慢赢得了 XZ 开发人员的信任，这让人们猜测恶意代码的作者是一个老练的攻击者，可能隶属于某个国家机构。该恶意代码的正式名称为 CVE-2024-3094，CVSS 评分为最高的 10 分。红帽公司报告说，恶意代码修改了 liblzma 中的函数，这是一个数据压缩库，是 XZ utils 软件包的一部分，也是几个主要 Linux 发行版的基础部分。然后，任何与 XZ 库链接的软件都可以使用这些修改过的代码，并允许截取和修改与该库一起使用的数据。据 Freund 称，在某些条件下，这个后门可以让恶意行为者破坏 sshd 身份验证，从而允许攻击者访问受影响的系统。Freund 还报告说，XZ utils 5.6.0 和 5.6.1 版本也受到影响。Red Hat 在 Fedora 41 和 Fedora Rawhide 中发现了存在漏洞的软件包，建议用户停止使用，直到有更新可用，但 Red Hat Enterprise Linux (RHEL) 仍未受到影响。SUSE 已发布 openSUSE（Tumbleweed 或 MicroOS）的更新。Debian Linux 稳定版是安全的，但测试版、不稳定版和实验版由于软件包受损，需要 xz-utils 更新。在 3 月 26 日至 3 月 29 日期间更新的 Kali Linux 用户需要再次更新以获得修复，而在 3 月 26 日之前更新的用户不受此漏洞影响。不过，正如许多安全研究人员指出的那样，情况仍在发展中，可能会发现更多漏洞。目前还不清楚其有效载荷是什么。美国网络安全和基础设施安全局建议人们降级到未被破坏的 XZ utils 版本，即早于 5.6.0 的版本。安全公司还建议开发人员和用户进行事件响应测试，查看是否受到影响，如果受到影响，则向 CISA 报告。幸运的是，这些受影响的版本似乎并没有被纳入任何主要 Linux 发行版的生产版本中，但安全公司 Analygence 的高级漏洞分析师 Will Dormann 告诉 Ars Technica，这次发现可谓千钧一发。他说："如果没有被发现，这将给世界带来灾难。" ... PC版： 手机版：

【影片名称】：法律实习生伊藤真幸在邻居的垃圾房里被关押、训练、同情一名气味怪异的中年男子……连续55次阴道射精而没有拔出。

【影片名称】：法律实习生伊藤真幸在邻居的垃圾房里被关押、训练、同情一名气味怪异的中年男子……连续55次阴道射精而没有拔出。 【影片演员】：#伊藤舞雪 【发行时间】：2024-03-29 【影片番号】：CAWD-639 【影片类型】： #羞辱, #剧情, #中出, #监禁, #极限高潮

PFES-084 我是公司里唯一的男人。在充满女人的内衣制造厂里，她每天都被性欲极强的美女老板性骚扰。尤里·麦纳 - 优梨真衣菜

PFES-084 我是公司里唯一的男人。在充满女人的内衣制造厂里，她每天都被性欲极强的美女老板性骚扰。尤里·麦纳 - 优梨真衣菜 时长: 02:32:14 上市时间: 2024-03-29 #优梨まいな #OL #ランジェリー #単体作品 #中出し #フェラ #ハイビジョン #独占配信 #バック #男はボク一人 #ロイヤル #コンニャック神野 #春のパンツまつり