XZ 维护者之一 Jia Tan 在 GitHub 上发布的 XZ Utils 5.6.0 and 5.6.1 tarball

XZ 维护者之一 Jia Tan 在 GitHub 上发布的 XZ Utils 5.6.0 and 5.6.1 tarball 中包含了恶意后门代码。 如非特别标注，以下链接中内容均为英文。 ==== XZ 方面的信息，以及漏洞分析 ==== oss-security 邮件列表: debian-security-announce 邮件列表: XZ 主要维护者 Lasse Collin 的声明: FAQ by Sam James: Evan Boehs 的博客: Filippo Valsorda: Gynvael Coldwind: RHEA 关于时区的分析: ==== 新闻报道 ==== LWN: ==== 供应商方面的信息，主要是各大发行版和安全公告板 ==== CVE: NVD: MSRC: GitHub Advisory Database: Red Hat Customer Portal: Red Hat Blog: Red Hat Bugzilla: Debian Security Bug Tracker: Debian Bug: Kali Linux Blog: SUSE blog: SUSE Security: SUSE Bugzilla: openSUSE News: Gentoo's Bugzilla: Arch Linux News: Arch Linux Advisories: OpenWrt: ==== 忙着查资料的被子饼 ==== 目前的证据表明这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本，且均已发布回退更新 目前确定曾受影响的发行版： Debian unstable/testing/experimental between 2024-02-01 and 2024-03-29 Kali Linux between 2024-03-26 and 2024-03-29 Ubuntu noble-proposed/noble-release between 2024-02-26 and 2024-03-29 Fedora 40/41(Rawhide) between 2024-02-27 and 2024-03-29 openSUSE Tumbleweed/MicroOS between 2024-03-07 and 2024-03-28

XZ 5.6.2 释出，移除后门代码

XZ 5.6.2 释出，移除后门代码 （英文） 引发广泛关注的 XZ 后门事件两个月之后，项目维护者 Lasse Collin 释出了新版本 XZ 5.6.2，移除了 v5.6 和 v5.6.1 中的后门代码 CVE-2024-3094。他同时宣布了一位支持维护者 Sam James。对 XZ 后门事件的调查仍然在进行之中。XZ 5.6.2 还修复了一系列 bug，包括修复了用最新 NVIDIA HPC SDK 构建的问题，移除 GNU Indirect Function(IFUNC)支持，XZ 后门代码使用了 IFUNC 支持，但移除主要是因为性能优势太小但复杂性大幅增加。（全文完）

英伟达开源内核驱动 Nouveau 维护者辞职

英伟达开源内核驱动 Nouveau 维护者辞职 英伟达 GPU 内核开源驱动 Nouveau 的维护者 Ben Skeggs 辞职，宣布退出开发。Ben Skeggs 此前一直为 Red Hat 工作，他从 2008 年起就担任 Nouveau 的维护者。他最后递交的补丁为内核驱动加入了利用英伟达 GPU 系统处理器 GSP 固件改进 RTX 20/30 系列显卡的硬件支持，加入对 RTX 40 Ada Lovelace GPU 的初步支持。英伟达最近开源了其内核驱动，但用户空间驱动仍然是闭源的。

XZ 发布 5.6.2 ，已移除先前后门代码

XZ 发布 5.6.2 ，已移除先前后门代码 两个月前，XZ 发布了紧急安全警报，指出 liblzma 中被植入了恶意代码，这是由一名不法分子通过混入 XZ 共同维护团队而添加的后门。XZ 的长期开发者 Lasse Collin 回归并重新掌舵，对之前的 XZ 提交进行了审计，并于今日发布了完全移除了后门的 XZ 5.6.2。 Lasse Collin 今天发布的 XZ 5.6.2 版本，已经清除了之前 v5.6 和 v5.6.1 版本中存在的 CVE-2024-3094 后门。 截至目前 XZ 后门事件仍在调查中 Lasse Collin 还宣布，Sam James 将成为 XZ 项目未来的支持维护者。 XZ 5.6.2 发布版本还包括一些错误修复、对最新 NVIDIA HPC SDK（编译器）的构建修复，以及移除了 GNU 间接函数（IFUNC）支持。IFUNC 支持曾被 XZ 后门利用，但移除此代码的原因是使用它带来的性能提升微乎其微，同时增加了很大的复杂性。今天还发布了包含各种错误修复的 XZ 5.4.7 和 XZ 5.2.13，但只有 XZ 5.6 系列受到了后门事件的影响。 消息来源: Xz项目地址:

xz 开发者植入后门破解 SSH 加密

xz 开发者植入后门破解 SSH 加密 Linux 上广泛使用的无损压缩软件包 xz-utils 被该项目的一位维护者秘密植入了后门，后门旨在绕过签名验证未经授权访问开放 SSH 端口的系统。存在后门的版本是 v5.6.0 和 v5.6.1，后门版本尚未进入 Linux 发行版的生产版本，因此影响范围有限，主要影响的是测试版本的 Debian 和 Red Hat 发行版，以及 Arch 和 openSUSE 等。攻击者被认为处心积虑，潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号，之后积极参与了 xz-utils 的开发，获取信任之后成为了该项目的维护者之一。过去几个月，JiaT75 开始非常巧妙的悄悄加入恶意代码，“分阶段通过添加测试用例数据为掩盖放入了恶意代码，并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本，在库中添加了劫持某 OpenSSL 函数的功能，添加了一个 SSH 后门。”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者，以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug，会导致崩溃等，此人随后与 Linux 开发者们频繁联络通信，试图修复问题，并建议他们发现问题后不要公开。目前 JiaT75 的账号以及 xz-utils 库都已被关闭。来源 ， 频道：@kejiqu 群组：@kejiquchat

这是并行编程专家，Linux 内核中 RCU 实现和 rcutorture 测试模块的维护者，也是RCU的发明人，现在FB工作P

这是并行编程专家，Linux 内核中 RCU 实现和 rcutorture 测试模块的维护者，也是RCU的发明人，现在FB工作Paul E. McKenney写的一本 #电子书 。对于实时操作系统内核同步机制（例如 Linux 中的实时 RCU）、Linux 和 UNIX 操作系统内核中的 SMP/NUMA 可扩展性和性能、网络性能分析、路由和拥塞控制， 嵌入式实时应用程序有着丰富的经验和研究。 基于老版本的，异于英文版的，由谢宝友、陈渝、鲁阳翻译