XZ 发布 5.6.2 ，已移除先前后门代码

XZ 发布 5.6.2 ，已移除先前后门代码 两个月前，XZ 发布了紧急安全警报，指出 liblzma 中被植入了恶意代码，这是由一名不法分子通过混入 XZ 共同维护团队而添加的后门。XZ 的长期开发者 Lasse Collin 回归并重新掌舵，对之前的 XZ 提交进行了审计，并于今日发布了完全移除了后门的 XZ 5.6.2。 Lasse Collin 今天发布的 XZ 5.6.2 版本，已经清除了之前 v5.6 和 v5.6.1 版本中存在的 CVE-2024-3094 后门。 截至目前 XZ 后门事件仍在调查中 Lasse Collin 还宣布，Sam James 将成为 XZ 项目未来的支持维护者。 XZ 5.6.2 发布版本还包括一些错误修复、对最新 NVIDIA HPC SDK（编译器）的构建修复，以及移除了 GNU 间接函数（IFUNC）支持。IFUNC 支持曾被 XZ 后门利用，但移除此代码的原因是使用它带来的性能提升微乎其微，同时增加了很大的复杂性。今天还发布了包含各种错误修复的 XZ 5.4.7 和 XZ 5.2.13，但只有 XZ 5.6 系列受到了后门事件的影响。 消息来源: Xz项目地址:

Linux 内核更新 XZ 补丁移除维护者 Jia Tan

Linux 内核更新 XZ 补丁移除维护者 Jia Tan XZ 项目维护者 Lasse Collin 发布了一组补丁集，更新了内核的 XZ 代码，其中一项变化是将 Jia Tan 移除出维护者名单。Jia Tan aka JiaT75 是臭名昭著的 XZ 后门事件的幕后黑手，这个名字可能是一个伪装，未必是华裔，他或他们在该项目潜伏了三年之久，获取信任之后成为了维护者，然后悄悄植入了后门代码。他或他们的真实身份至今仍然是一个谜。补丁的其它变化包括了许可证从 Public Domain 迁移到 BSD Zero Clause License，更新了文档，新的 ARM64 和 RISC-V 过滤器等等。 via Solidot

xz 开发者植入后门破解 SSH 加密

xz 开发者植入后门破解 SSH 加密 Linux 上广泛使用的无损压缩软件包 xz-utils 被该项目的一位维护者秘密植入了后门，后门旨在绕过签名验证未经授权访问开放 SSH 端口的系统。存在后门的版本是 v5.6.0 和 v5.6.1，后门版本尚未进入 Linux 发行版的生产版本，因此影响范围有限，主要影响的是测试版本的 Debian 和 Red Hat 发行版，以及 Arch 和 openSUSE 等。攻击者被认为处心积虑，潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号，之后积极参与了 xz-utils 的开发，获取信任之后成为了该项目的维护者之一。过去几个月，JiaT75 开始非常巧妙的悄悄加入恶意代码，“分阶段通过添加测试用例数据为掩盖放入了恶意代码，并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本，在库中添加了劫持某 OpenSSL 函数的功能，添加了一个 SSH 后门。”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者，以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug，会导致崩溃等，此人随后与 Linux 开发者们频繁联络通信，试图修复问题，并建议他们发现问题后不要公开。目前 JiaT75 的账号以及 xz-utils 库都已被关闭。来源 ， 频道：@kejiqu 群组：@kejiquchat

XZ 维护者之一 Jia Tan 在 GitHub 上发布的 XZ Utils 5.6.0 and 5.6.1 tarball

XZ 维护者之一 Jia Tan 在 GitHub 上发布的 XZ Utils 5.6.0 and 5.6.1 tarball 中包含了恶意后门代码。 如非特别标注，以下链接中内容均为英文。 ==== XZ 方面的信息，以及漏洞分析 ==== oss-security 邮件列表: debian-security-announce 邮件列表: XZ 主要维护者 Lasse Collin 的声明: FAQ by Sam James: Evan Boehs 的博客: Filippo Valsorda: Gynvael Coldwind: RHEA 关于时区的分析: ==== 新闻报道 ==== LWN: ==== 供应商方面的信息，主要是各大发行版和安全公告板 ==== CVE: NVD: MSRC: GitHub Advisory Database: Red Hat Customer Portal: Red Hat Blog: Red Hat Bugzilla: Debian Security Bug Tracker: Debian Bug: Kali Linux Blog: SUSE blog: SUSE Security: SUSE Bugzilla: openSUSE News: Gentoo's Bugzilla: Arch Linux News: Arch Linux Advisories: OpenWrt: ==== 忙着查资料的被子饼 ==== 目前的证据表明这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本，且均已发布回退更新 目前确定曾受影响的发行版： Debian unstable/testing/experimental between 2024-02-01 and 2024-03-29 Kali Linux between 2024-03-26 and 2024-03-29 Ubuntu noble-proposed/noble-release between 2024-02-26 and 2024-03-29 Fedora 40/41(Rawhide) between 2024-02-27 and 2024-03-29 openSUSE Tumbleweed/MicroOS between 2024-03-07 and 2024-03-28

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招 日前该项目被发现存在后门，这些恶意代码旨在允许未经授权的访问，具体来说影响 xz-utils 5.6.0 和 5.6.1 版中，而且这些受影响的版本已经被多个 Linux 发行版合并。简单来说这是一起供应链投毒事件，攻击者通过上游开源项目投毒，最终随着项目集成影响 Linux 发行版，包括 Fedora Linux 40/41 等操作系统已经确认受该问题影响。恶意代码的目的：RedHat 经过分析后认为，此次黑客添加的恶意代码会通过 systemd 干扰 sshd 的身份验证，SSH 是远程连接系统的常见协议，而 sshd 是允许访问的服务。在适当的情况下，这种干扰可能会让黑客破坏 sshd 的身份验证并获得整个系统的远程未经授权的访问 (无需 SSH 密码或密钥)。RedHat 确认 Fedora Linux 40/41、Fedora Rawhide 受该问题影响，RHEL 不受影响，其他 Linux 发行版应该也受影响，具体用户可以在开发商网站获取信息。建议立即停止使用受影响版本：如果你使用的 Linux 发行版受上述后门程序影响，RedHat 的建议是无论个人还是商用目的，都应该立即停止使用。之后请查询 Linux 发行版的开发商获取安全建议，包括检查和删除后门程序、回滚或更新 xz-utils 等。孤独的开源贡献者问题：在这里还需要额外讨论一个开源项目的问题，xz-utils 尽管被全世界的 Linux 发行版、压缩软件广泛使用，但在之前只有一名活跃的贡献者在维护这个项目。这个孤独的贡献者可能因为精力不够或者其他原因，在遇到一名新的贡献者时，随着时间的推移，在获取信任后，这名新贡献者逐渐获得了项目的更多控制权。实际上这名黑客应该也是精心挑选的项目，知道这种情况下可能更容易获取控制权，于是从 2022 年开始就贡献代码，直到成为主要贡献者后，再实施自己的后门行动。未来这类针对开源项目的供应链攻击应该还会显著增加，这对整个开源社区来说应该都是头疼的问题。 ... PC版： 手机版：

TLDR：通过提供更加特殊的输入，xz 后门除了能做到之前说的远程代码执行以外，还可以做 full auth bypass（跳过

TLDR：通过提供更加特殊的输入，xz 后门除了能做到之前说的远程代码执行以外，还可以做 full auth bypass（跳过所有验证，直接进入交互式终端）。 进入终端相对于让 sshd 直接启动程序来说从外面看起来更正常，因此也更适合隐秘的攻击