您的當(dāng)前位置:首頁 > 綜合 > 心機(jī)黑客潛伏兩年后向XZ添加后門 多個(gè)Linux發(fā)行版中招影響服務(wù)器安全 – 藍(lán)點(diǎn)網(wǎng) 正文
時(shí)間:2025-11-22 20:25:15 來源:網(wǎng)絡(luò)整理 編輯:綜合
今天 Linux 社區(qū)最關(guān)注的事情就是 xz-utils (以前被稱為 LZMA Utils) 項(xiàng)目被植入后門的事情,xz 是被 Linux 發(fā)行版廣泛使用的壓縮格式之一,xz-utils 是一個(gè)開源 成都美女約炮(電話微信189-4469-7302)大保健可上門安排外圍外圍上門外圍女桑拿全套按摩
今天 Linux 社區(qū)最關(guān)注的心機(jī)行版事情就是 xz-utils (以前被稱為 LZMA Utils) 項(xiàng)目被植入后門的事情,xz 是黑客后向后門被 Linux 發(fā)行版廣泛使用的壓縮格式之一,xz-utils 是潛伏器安全藍(lán)成都美女約炮(電話微信189-4469-7302)大保健可上門安排外圍外圍上門外圍女桑拿全套按摩一個(gè)開源項(xiàng)目,2022 年起有個(gè)名為 Jia Tan 的兩年賬號開始向該項(xiàng)目貢獻(xiàn)代碼,然后逐步接手該項(xiàng)目成為項(xiàng)目的添加主要貢獻(xiàn)者。
日前該項(xiàng)目被發(fā)現(xiàn)存在后門,多個(gè)點(diǎn)網(wǎng)這些惡意代碼旨在允許未經(jīng)授權(quán)的發(fā)服務(wù)訪問,具體來說影響 xz-utils 5.6.0 和 5.6.1 版中,中招而且這些受影響的影響版本已經(jīng)被多個(gè) Linux 發(fā)行版合并。
簡單來說這是心機(jī)行版一起供應(yīng)鏈投毒事件,攻擊者通過上游開源項(xiàng)目投毒,黑客后向后門成都美女約炮(電話微信189-4469-7302)大保健可上門安排外圍外圍上門外圍女桑拿全套按摩最終隨著項(xiàng)目集成影響 Linux 發(fā)行版,潛伏器安全藍(lán)包括 Fedora Linux 40/41 等操作系統(tǒng)已經(jīng)確認(rèn)受該問題影響。兩年
惡意代碼的添加目的:
RedHat 經(jīng)過分析后認(rèn)為,此次黑客添加的多個(gè)點(diǎn)網(wǎng)惡意代碼會(huì)通過 systemd 干擾 sshd 的身份驗(yàn)證,SSH 是遠(yuǎn)程連接系統(tǒng)的常見協(xié)議,而 sshd 是允許訪問的服務(wù)。
在適當(dāng)?shù)那闆r下,這種干擾可能會(huì)讓黑客破壞 sshd 的身份驗(yàn)證并獲得整個(gè)系統(tǒng)的遠(yuǎn)程未經(jīng)授權(quán)的訪問 (無需 SSH 密碼或密鑰)。
RedHat 確認(rèn) Fedora Linux 40/41、Fedora Rawhide 受該問題影響,RHEL 不受影響,其他 Linux 發(fā)行版應(yīng)該也受影響,具體用戶可以在開發(fā)商網(wǎng)站獲取信息。
建議立即停止使用受影響版本:
如果你使用的 Linux 發(fā)行版受上述后門程序影響,RedHat 的建議是無論個(gè)人還是商用目的,都應(yīng)該立即停止使用。
之后請查詢 Linux 發(fā)行版的開發(fā)商獲取安全建議,包括檢查和刪除后門程序、回滾或更新 xz-utils 等。
孤獨(dú)的開源貢獻(xiàn)者問題:
在這里還需要額外討論一個(gè)開源項(xiàng)目的問題,xz-utils 盡管被全世界的 Linux 發(fā)行版、壓縮軟件廣泛使用,但在之前只有一名活躍的貢獻(xiàn)者在維護(hù)這個(gè)項(xiàng)目。
這個(gè)孤獨(dú)的貢獻(xiàn)者可能因?yàn)榫Σ粔蚧蛘咂渌颍谟龅揭幻碌呢暙I(xiàn)者時(shí),隨著時(shí)間的推移,在獲取信任后,這名新貢獻(xiàn)者逐漸獲得了項(xiàng)目的更多控制權(quán)。
實(shí)際上這名黑客應(yīng)該也是精心挑選的項(xiàng)目,知道這種情況下可能更容易獲取控制權(quán),于是從 2022 年開始就貢獻(xiàn)代碼,直到成為主要貢獻(xiàn)者后,再實(shí)施自己的后門行動(dòng)。
未來這類針對開源項(xiàng)目的供應(yīng)鏈攻擊應(yīng)該還會(huì)顯著增加,這對整個(gè)開源社區(qū)來說應(yīng)該都是頭疼的問題。
中國音數(shù)協(xié)第一副理事長張毅君在中國音數(shù)協(xié)游戲博物館開館儀式上的致辭2025-11-22 20:18
《街頭霸王6》系列核心“End Contents”依然是對戰(zhàn)!2025-11-22 20:05
DNF古靈精怪BUFF換裝怎么搭 DNF起源版本古靈精怪BUFF換裝攻略2025-11-22 20:03
《孤島危機(jī)2》泄露版要多糟糕就有多糟糕?2025-11-22 19:55
NBA游樂場2配置要求 最低與推薦配置一覽2025-11-22 19:49
DNF第五周傳說圖騰公式是什么 第五周傳說圖騰攻略2025-11-22 19:37
原神多莉有必要抽嗎2025-11-22 19:32
大頭針與圖釘交換腦袋的故事2025-11-22 19:24
Roguelite類《絕命游歌》正式上線Steam首發(fā)9折優(yōu)惠2025-11-22 18:10
天國拯救弓箭怎么用 天國拯救箭術(shù)提升技巧2025-11-22 17:43
《孤島驚魂5》最新預(yù)告 3月27日發(fā)售2025-11-22 20:18
《秘密潛入:起源》開發(fā)商Antimatter Games宣布將于今夏關(guān)閉工作室2025-11-22 20:06
星火之歌江望出戰(zhàn)通關(guān)攻略2025-11-22 20:01
《求生之路》詳細(xì)情報(bào)總匯2025-11-22 20:01
《看墓人》實(shí)機(jī)操作視頻放出 中世紀(jì)墓園管理游戲2025-11-22 19:55
Windows7 RC1游戲兼容性深入分析報(bào)告2025-11-22 19:33
Epic喜加一:《輻射新維加斯》終極版免費(fèi)領(lǐng)!2025-11-22 19:21
《神偷4》首張測試畫面流出首頁2025-11-22 18:54
萬代新作《靈魂能力6》曝光 加入全新邊緣反擊系統(tǒng)2025-11-22 18:37
卡普空《龍之信條2》發(fā)布新預(yù)告片 展示更多玩法內(nèi)容2025-11-22 17:45
免責(zé)聲明:本站所有信息均來源于互聯(lián)網(wǎng)搜集,并不代表本站觀點(diǎn),本站不對其真實(shí)合法性負(fù)責(zé)。如有信息侵犯了您的權(quán)益,請告知,本站將立刻刪除。
Copyright © 2025 Powered by 心機(jī)黑客潛伏兩年后向XZ添加后門 多個(gè)Linux發(fā)行版中招影響服務(wù)器安全 – 藍(lán)點(diǎn)網(wǎng),骨軟筋酥網(wǎng) sitemap
