V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ing995683
V2EX  ›  程序员

xz-utils 后门事件

  •  1
     
  •   ing995683 · 14 天前 · 7937 次点击
    目前,Fedora ,Arch Linux 和 openSUSE 等多个发行版向用户发出了警告,要求用户立即降级或升级到不存在后门或已经去除后门的 xz-utils 版本。
    https://www.openwall.com/lists/oss-security/2024/03/29/4
    https://lwn.net/Articles/967180/
    51 条回复    2024-04-03 17:22:47 +08:00
    AoEiuV020JP
        1
    AoEiuV020JP  
       13 天前
    一直没用过 xz ,更喜欢 gz ,有没有什么常见的软件是内部使用 xz 并中招了的?
    NewYear
        2
    NewYear  
       13 天前
    需要明确哪些知名的具体发型版本、软件、库中招了。。。

    真的没法一个个去查,普通人太难了。
    kaedeair
        3
    kaedeair  
       13 天前
    @AoEiuV020JP 很多源码是 xz 打包的,主要影响的是 lzma ,7z 的默认算法就是这玩意,很多底层的压缩算法都依赖 lzma
    namonai
        4
    namonai  
       13 天前
    @NewYear 运行一下 xz -V ,看下版本,5.6 的就不行
    Eillott
        5
    Eillott  
       13 天前 via Android   ❤️ 1
    需要回滚到这个老哥第一次提交代码前,他的代码都不可信任,肉眼 review 很难发现问题的
    jim9606
        6
    jim9606  
       13 天前 via Android
    @AoEiuV020JP
    受影响的是属于 xz-utils 项目的 liblzma,后者只要用到 lzma 就有可能中招,只是这次攻击代码只针对 systemd+openssh ,分别用来压缩日志和 ssh 流量。
    lzma 作为目前最高压缩率的无损压缩算法,应用范围就广了,只是使用方可能选择自己实现而不是链接 liblzma 罢了

    @NewYear 5.6.0/5.6.1 ,不是滚动发行版基本碰不到,太新了。
    jjianwen68
        7
    jjianwen68  
       13 天前
    fbi 或国际刑警会追查这人吗
    GTim
        8
    GTim  
       13 天前
    5.2.2
    Mrun
        9
    Mrun  
       13 天前
    这种基础软件被植入后门,影响太大了
    dyv9
        10
    dyv9  
       13 天前 via Android
    @Eillott 听说人家潜伏 3 年了。得回到 3 年前?
    conan257
        11
    conan257  
       13 天前
    国内关注这个的很少吧?
    lilei2023
        12
    lilei2023  
       13 天前
    @conan257 是啊,奇怪,我看外讨论得挺热闹的,国内没啥动静(个人感觉)
    tabris17
        13
    tabris17  
       13 天前
    5.6 很新的版本,只有尝鲜的滚动发行版才会中招,使用各大 LTS 的不用担心
    blessingsi
        14
    blessingsi  
       13 天前
    我看很多人说这个作者“潜伏”了三年,有没有可能作者之前三年真的在认真维护,最近因为某种原因(比如现实中没钱了)开始做恶,或者更善意的假设一下,只是单纯手抖多打了一个 '.'。 现在有没有人审查他之前提交的代码呀。
    mnsw
        15
    mnsw  
       13 天前
    xz (XZ Utils) 5.4.1
    liblzma 5.4.1

    基本都是这个版本
    xycost233
        16
    xycost233  
       13 天前   ❤️ 1
    @blessingsi 善意的假设也不可能认为他通过提交声称“无意义”的测试文件,然后通过改编译流程的方式内嵌恶意代码的方法是不小心的
    麻烦先看新闻再评论
    jhdxr
        17
    jhdxr  
       13 天前   ❤️ 2
    @blessingsi 要是手抖能分别在这么多个 commit 中完成定向地投毒,我宁可相信猴子也能写出莎翁全集。
    k9982874
        18
    k9982874  
       13 天前
    看了看我的 arch ,目前使用到 liblzma 的只有 libelf ,版本是 liblzma.so=5-64 ,然而 libelf 被 mesa 引用。
    mesa 驱动被投毒,这是全军覆没了吧
    leostone
        19
    leostone  
       13 天前   ❤️ 1
    @blessingsi #14 感觉不太可能 现在对这个人的个人信息 好像没任何人爆料 (说明这个人一开始就隐藏了个人信息) 如果是单纯的维护 感觉没必要这么做
    shiji
        20
    shiji  
       13 天前 via iPhone
    @blessingsi 也许现在的这个人不是账号的主人,但是拿到了管理权
    kenilalexandra
        21
    kenilalexandra  
       13 天前
    据说 xz 的 5.4.x 版本也被植入病毒了,不仅仅只影响 5.6.x
    kenilalexandra
        22
    kenilalexandra  
       13 天前
    @dyv9 不一定是潜伏啊,被盗号也有可能?
    e3c78a97e0f8
        23
    e3c78a97e0f8  
       13 天前   ❤️ 1
    @blessingsi 你没有看完整整个事情,那个点只是他做的事情之一,并不是后门的主体
    afei418
        24
    afei418  
       13 天前 via Android
    哈,termux ,升级后从 5.6.1 降级到了 5.4.5.
    ZeroAsh
        25
    ZeroAsh  
       13 天前
    自从给我的机器装了 k8s 之后好久都没 sudo pacman -Syu 过了,看了下 xz -V 还是 5.4.5 ,应该躲过一劫(诶嘿
    type
        26
    type  
       13 天前   ❤️ 1
    此人在另一个项目,将 safe_fprintf 改 fprintf:
    https://github.com/libarchive/libarchive/pull/1609
    Seria
        27
    Seria  
       13 天前
    所有服务器均是 5.2.2
    blessingsi
        28
    blessingsi  
       13 天前
    @jhdxr @xycost233 我的问题,没有了解整个上下文,肯定是恶意代码
    levelworm
        29
    levelworm  
       13 天前 via Android
    话说谁看懂了那个后门?
    lesismal
        30
    lesismal  
       13 天前   ❤️ 1
    @jhdxr #17

    目测至少要比误触预定小米汽车并锁单的用户更加手抖才行
    sunzhenyucn
        31
    sunzhenyucn  
       13 天前
    不是原作者,而是后来接手的 Maintainer "Tan Jia",其实这个互动意外的很有趣且发人深省,可以参考这篇发布[在 Medium 上的文章]( https://robmensching.com/blog/posts/2024/03/30/a-microcosm-of-the-interactions-in-open-source-projects/),人无完人吧
    gamexg
        32
    gamexg  
       13 天前
    @blessingsi #14 不太像,他前期将项目源码的第三方安全检查功能的邮箱改为了自己的邮箱,并关闭了部分检查功能, 并且忽略掉了自己投毒的文件. 看起来是怕自己的修改被安全检查发现.

    另外对其他项目也做了一些危险的可疑修改.
    Beebird
        33
    Beebird  
       13 天前
    昨天有个帖子里有检测脚本,可以直接执行:

    bash <(curl -sL https://www.openwall.com/lists/oss-security/2024/03/29/4/3)
    xycost233
        34
    xycost233  
       13 天前   ❤️ 2
    好家伙有分析认为这个逼可能是个假华裔,冒充自己在+8 时区
    https://www.solidot.org/story?sid=77748
    dhb233
        35
    dhb233  
       13 天前
    @Beebird #33 有没有可能这个网站的脚本被替换了,请求的时候如果 ua 是 curl ,就有一定概率返回一个恶意脚本 。。。
    Beebird
        36
    Beebird  
       13 天前
    有,所以我一般先 curl -o 下载下来看一遍。 @dhb233
    NewYear
        37
    NewYear  
       13 天前
    @namonai
    @jim9606

    最近安装的树莓派也有 xz ,版本是 5.2X ,没事了。谢谢
    icebergSnow
        38
    icebergSnow  
       13 天前 via iPhone
    你的头像哪来的,好睿智哈哈哈😆
    iOCZS
        39
    iOCZS  
       13 天前
    下毒者妥妥一枚心机 boy 啊
    skiy
        40
    skiy  
       13 天前   ❤️ 1
    @xycost233 既然说潜伏,就不可能姓名也不伪装的。
    MiketsuSmasher
        41
    MiketsuSmasher  
       13 天前
    @blessingsi 您是说该作者在 xz-utils 源代码里无意中多打了一个点,而且还无意中修改了编译流程,无意中内嵌了恶意代码,并且在 libarchive 中也无意地干了差不多的事,是这样的吗?😅
    lovelylain
        42
    lovelylain  
       13 天前 via Android
    @afei418 更新 repo 前
    xz-utils/now 5.2.5-1 aarch64 [installed,upgradable to: 5.6.1]
    更新后
    xz-utils/now 5.2.5-1 aarch64 [installed,upgradable to: 5.6.1+really5.4.5]
    zhongjun96
        43
    zhongjun96  
       13 天前
    @lilei2023 #12 国内用户更新不会这么快,昨天检查了几十台服务器,都是 5.2 版本
    Rache1
        44
    Rache1  
       13 天前
    @icebergSnow #38 前几天很火的

    HackerNews 上看到的 [丑丑头像生成器] - V2EX
    https://www.v2ex.com/t/1027006
    tibbers08
        45
    tibbers08  
       12 天前
    查了下 centos xz 版本为 5.6.1 , 要咋降级?
    lujiaxing
        46
    lujiaxing  
       12 天前
    @iOCZS 心机什么 BOY....
    这种多重隐藏的后门, 而且还是调查了相关人员的行为习惯之后加进去的后门, 基本上可以认定是某个国家的政府行为了. 为的是给对手国家埋雷
    Jeff1234567
        47
    Jeff1234567  
       12 天前
    mac 上有 xz 5.6 版本问题大么
    shunia
        48
    shunia  
       12 天前
    @xycost233 #34 为什么我看了他的分析,反而感觉这家伙更像中国人了。。。只有中国社畜才会这么辛苦的工作。。。
    YIsion
        49
    YIsion  
       11 天前
    @shunia 所以一个中国社畜天天过东欧节日?这还是中国社畜么?
    xycost233
        50
    xycost233  
       11 天前
    @shunia 中国社畜起码圣诞假期是要上班的吧,欧洲大部分都是圣诞元旦一起放长假,国内就元旦能放
    MapleEve
        51
    MapleEve  
       11 天前
    @Jeff1234567 大,brew upgrade 一键降级
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5948 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 43ms · UTC 03:09 · PVG 11:09 · LAX 20:09 · JFK 23:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.