Fwupd 将在未来版本中使用 Zstd 压缩

Fwupd 将在未来版本中使用 Zstd 压缩 Fwupd 开发和维护者 Richard Hughes 今天宣布，GNU/Linux 发行版用于更新各种硬件设备固件的流行 Linux 固件更新程序的未来版本将不再使用 XZ Utils，而是采用 Zstandard (zstd)。在经历了 XZ 后门风波之后，开源开发人员正在寻找替代的压缩工具，而目前显而易见的选择是 Zstandard，它提供了一种无损数据压缩算法，在解压缩时比 XZ 更快。除了以快速压缩著称外，它还提供了比 XZ 更高的压缩比。

使用大型语言模型进行文本压缩的实用工具，与其他压缩工具相比，具有更高的压缩比。

使用大型语言模型进行文本压缩的实用工具，与其他压缩工具相比，具有更高的压缩比。 基于RWKV 169M v4语言模型，该模型在速度和压缩比之间取得了良好的折衷。但其压缩和解压速度较传统压缩工具慢(RTX 4090上的速度为每秒1MB)，且只支持文本文件。 | #工具

xz 开发者植入后门破解 SSH 加密

xz 开发者植入后门破解 SSH 加密 Linux 上广泛使用的无损压缩软件包 xz-utils 被该项目的一位维护者秘密植入了后门，后门旨在绕过签名验证未经授权访问开放 SSH 端口的系统。存在后门的版本是 v5.6.0 和 v5.6.1，后门版本尚未进入 Linux 发行版的生产版本，因此影响范围有限，主要影响的是测试版本的 Debian 和 Red Hat 发行版，以及 Arch 和 openSUSE 等。攻击者被认为处心积虑，潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号，之后积极参与了 xz-utils 的开发，获取信任之后成为了该项目的维护者之一。过去几个月，JiaT75 开始非常巧妙的悄悄加入恶意代码，“分阶段通过添加测试用例数据为掩盖放入了恶意代码，并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本，在库中添加了劫持某 OpenSSL 函数的功能，添加了一个 SSH 后门。”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者，以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug，会导致崩溃等，此人随后与 Linux 开发者们频繁联络通信，试图修复问题，并建议他们发现问题后不要公开。目前 JiaT75 的账号以及 xz-utils 库都已被关闭。来源 ， 频道：@kejiqu 群组：@kejiquchat

微软员工意外从CVE-2024-3094 XZ后门中挽救了全球Linux崩溃事件

微软员工意外从CVE-2024-3094 XZ后门中挽救了全球Linux崩溃事件 幸运的是，微软Linux 开发人员 Andres Freund 意外地及时发现了这一漏洞，他对 SSH（安全外壳）端口连接为何会出现 500 毫秒延迟感到好奇，结果发现了一个嵌入在 XZ 文件压缩器中的恶意后门。到目前为止，在撰写本文时，VirtusTotal 只列出了63 家安全厂商中的 4 家，其中包括微软，它们都正确地检测到了该漏洞的危害性。因此，在这一事件中，微软工程师的鹰眼本领值得称赞，因为很多人可能根本不会费心去研究它。这一事件也凸显了开源软件是如何被有害行为者利用的。XZ Utils 的 5.6.0 和 5.6.1 版本已被后门破坏，美国网络安全和基础设施安全局（CISA）的官方建议是使用旧的安全版本。根据建议指南，要验证系统中是否有漏洞软件，用户可以在 SSH 中以管理员权限运行以下命令：xzversion系统管理员也可使用第三方扫描和检测工具。安全研究公司 Qualys 和 Binarly 发布了检测和扫描工具，用于检测系统是否受到影响。Qualys 发布了 VULNSIGS 2.6.15-6 版本，并在 QID（Qualys 漏洞检测 ID）"379548"下标记了该漏洞。与此同时，Binarly 还发布了一款免费的 XZ 后门扫描工具，一旦检测到 XZ Utils 被入侵，该工具就会发出"XZ 恶意植入"的检测信息。您可以在Binarly和Qualys的网站上找到与该漏洞相关的更多技术细节。 ... PC版： 手机版：

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版 本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。这些恶意代码旨在允许未经授权的访问，而且这些受影响的版本已经被多个 Linux 发行版合并，但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题，编号为 ，严重性评分为 10/10 。 xz 是被 Linux 发行版广泛使用的压缩格式之一， xz-utils (LZMA-utils)是一个开源项目，2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码，然后逐步接手该项目成为项目的主要贡献者，也是该项目当前唯一的活跃贡献者。恶意代码经过混淆，只能在完整的下载包中找到，而无法在 Git 发行版中找到，因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ，使攻击者可以使用精心构造的数据跳过 RSA 密钥检验，在未授权情况下授予攻击者不受限制的访问权限。

压缩包格式有很多现在常见格式有

压缩包格式有很多 现在常见格式有 zip rar 7z 因为多了群友投稿所以格式可能会杂乱一点 一样是压缩包 顺带解释一下 为什么我们主要选用7z压缩包 zip在三个容器格式里是最早出现的，于是会有一些bug 比如我们解压一些游戏，那些不是有一些乱码字体吗，那就是zip压缩解压后的bug 以及zip的压缩比在三种格式里是最少的 不过zip兼容性很高 7z是开源免费的 相较于普通的zip格式，他的压缩比要高出30%左右 解压速度快 不过市场流通并不多 以及压缩很慢 rar的压缩比相较于zip 要高 ，比7z低一点，但是不多，不过解压速度和压缩速度都慢，不过rar有个很棒的功能 那就是恢复记录，允许在网络传输和过程中发生数据错误而仍能正常解压，这点对于日常使用是非常有实际意义的 以及最好的容器格式是tar 因为他是真当容器 上三个格式都是带打包+压缩