XZ 5.6.2 释出，移除后门代码

XZ 5.6.2 释出，移除后门代码 （英文） 引发广泛关注的 XZ 后门事件两个月之后，项目维护者 Lasse Collin 释出了新版本 XZ 5.6.2，移除了 v5.6 和 v5.6.1 中的后门代码 CVE-2024-3094。他同时宣布了一位支持维护者 Sam James。对 XZ 后门事件的调查仍然在进行之中。XZ 5.6.2 还修复了一系列 bug，包括修复了用最新 NVIDIA HPC SDK 构建的问题，移除 GNU Indirect Function(IFUNC)支持，XZ 后门代码使用了 IFUNC 支持，但移除主要是因为性能优势太小但复杂性大幅增加。（全文完）

Linux 内核更新 XZ 补丁移除维护者 Jia Tan

Linux 内核更新 XZ 补丁移除维护者 Jia Tan XZ 项目维护者 Lasse Collin 发布了一组补丁集，更新了内核的 XZ 代码，其中一项变化是将 Jia Tan 移除出维护者名单。Jia Tan aka JiaT75 是臭名昭著的 XZ 后门事件的幕后黑手，这个名字可能是一个伪装，未必是华裔，他或他们在该项目潜伏了三年之久，获取信任之后成为了维护者，然后悄悄植入了后门代码。他或他们的真实身份至今仍然是一个谜。补丁的其它变化包括了许可证从 Public Domain 迁移到 BSD Zero Clause License，更新了文档，新的 ARM64 和 RISC-V 过滤器等等。 via Solidot

xz 开发者植入后门破解 SSH 加密

xz 开发者植入后门破解 SSH 加密 Linux 上广泛使用的无损压缩软件包 xz-utils 被该项目的一位维护者秘密植入了后门，后门旨在绕过签名验证未经授权访问开放 SSH 端口的系统。存在后门的版本是 v5.6.0 和 v5.6.1，后门版本尚未进入 Linux 发行版的生产版本，因此影响范围有限，主要影响的是测试版本的 Debian 和 Red Hat 发行版，以及 Arch 和 openSUSE 等。攻击者被认为处心积虑，潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号，之后积极参与了 xz-utils 的开发，获取信任之后成为了该项目的维护者之一。过去几个月，JiaT75 开始非常巧妙的悄悄加入恶意代码，“分阶段通过添加测试用例数据为掩盖放入了恶意代码，并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本，在库中添加了劫持某 OpenSSL 函数的功能，添加了一个 SSH 后门。”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者，以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug，会导致崩溃等，此人随后与 Linux 开发者们频繁联络通信，试图修复问题，并建议他们发现问题后不要公开。目前 JiaT75 的账号以及 xz-utils 库都已被关闭。来源 ， 频道：@kejiqu 群组：@kejiquchat

TLDR：通过提供更加特殊的输入，xz 后门除了能做到之前说的远程代码执行以外，还可以做 full auth bypass（跳过

TLDR：通过提供更加特殊的输入，xz 后门除了能做到之前说的远程代码执行以外，还可以做 full auth bypass（跳过所有验证，直接进入交互式终端）。 进入终端相对于让 sshd 直接启动程序来说从外面看起来更正常，因此也更适合隐秘的攻击

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版 本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。这些恶意代码旨在允许未经授权的访问，而且这些受影响的版本已经被多个 Linux 发行版合并，但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题，编号为 ，严重性评分为 10/10 。 xz 是被 Linux 发行版广泛使用的压缩格式之一， xz-utils (LZMA-utils)是一个开源项目，2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码，然后逐步接手该项目成为项目的主要贡献者，也是该项目当前唯一的活跃贡献者。恶意代码经过混淆，只能在完整的下载包中找到，而无法在 Git 发行版中找到，因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ，使攻击者可以使用精心构造的数据跳过 RSA 密钥检验，在未授权情况下授予攻击者不受限制的访问权限。

微软员工意外从CVE-2024-3094 XZ后门中挽救了全球Linux崩溃事件

微软员工意外从CVE-2024-3094 XZ后门中挽救了全球Linux崩溃事件 幸运的是，微软Linux 开发人员 Andres Freund 意外地及时发现了这一漏洞，他对 SSH（安全外壳）端口连接为何会出现 500 毫秒延迟感到好奇，结果发现了一个嵌入在 XZ 文件压缩器中的恶意后门。到目前为止，在撰写本文时，VirtusTotal 只列出了63 家安全厂商中的 4 家，其中包括微软，它们都正确地检测到了该漏洞的危害性。因此，在这一事件中，微软工程师的鹰眼本领值得称赞，因为很多人可能根本不会费心去研究它。这一事件也凸显了开源软件是如何被有害行为者利用的。XZ Utils 的 5.6.0 和 5.6.1 版本已被后门破坏，美国网络安全和基础设施安全局（CISA）的官方建议是使用旧的安全版本。根据建议指南，要验证系统中是否有漏洞软件，用户可以在 SSH 中以管理员权限运行以下命令：xzversion系统管理员也可使用第三方扫描和检测工具。安全研究公司 Qualys 和 Binarly 发布了检测和扫描工具，用于检测系统是否受到影响。Qualys 发布了 VULNSIGS 2.6.15-6 版本，并在 QID（Qualys 漏洞检测 ID）"379548"下标记了该漏洞。与此同时，Binarly 还发布了一款免费的 XZ 后门扫描工具，一旦检测到 XZ Utils 被入侵，该工具就会发出"XZ 恶意植入"的检测信息。您可以在Binarly和Qualys的网站上找到与该漏洞相关的更多技术细节。 ... PC版： 手机版：