xz-utils 后门事件

查看 74|回复 6
作者:ing995683   
目前,Fedora ,Arch Linux 和 openSUSE 等多个发行版向用户发出了警告,要求用户立即降级或升级到不存在后门或已经去除后门的 xz-utils 版本。
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://lwn.net/Articles/967180/
AoEiuV020JP   
一直没用过 xz ,更喜欢 gz ,有没有什么常见的软件是内部使用 xz 并中招了的?
NewYear   
需要明确哪些知名的具体发型版本、软件、库中招了。。。
真的没法一个个去查,普通人太难了。
kaedeair   
@AoEiuV020JP 很多源码是 xz 打包的,主要影响的是 lzma ,7z 的默认算法就是这玩意,很多底层的压缩算法都依赖 lzma
namonai   
@NewYear 运行一下 xz -V ,看下版本,5.6 的就不行
Eillott   
需要回滚到这个老哥第一次提交代码前,他的代码都不可信任,肉眼 review 很难发现问题的
jim9606   
@AoEiuV020JP
受影响的是属于 xz-utils 项目的 liblzma,后者只要用到 lzma 就有可能中招,只是这次攻击代码只针对 systemd+openssh ,分别用来压缩日志和 ssh 流量。
lzma 作为目前最高压缩率的无损压缩算法,应用范围就广了,只是使用方可能选择自己实现而不是链接 liblzma 罢了
@NewYear 5.6.0/5.6.1 ,不是滚动发行版基本碰不到,太新了。
您需要登录后才可以回帖 登录 | 立即注册

返回顶部