这次事件的一些特点:
- 十分隐蔽,发现者是从 M4 构建脚本里发现的端倪
- 攻击者策划十分精心,从 21 年注册账号开始逐步获取 xz 开发者社区的信任,并暗中把后门藏进项目中,甚至还可能借助了小号来帮助自己
- 目标十分精确,大量的软件依赖于 xz-utils,Linux 中常用的系统工具 systemd 依赖于 xz-utils 中的 liblzma
3 个赞
开源这样的话, 闭源甚至不敢想究竟有多少后门了.
2 个赞
去年有 faker.js 和 node-ipc,今年有 xz-utils …
黑暗森林的时代到来了。
是因为后门导致使用 ssh 时 CPU 用量比平时过高才被发現的,还有人调侃说下次记得先做 benchmark
With the backdoored liblzma installed, logins via ssh become a lot slower.
time ssh [email protected]
before:
[email protected]: Permission denied (publickey).
before:
real 0m0.299s
user 0m0.202s
sys 0m0.006s
after:
[email protected]: Permission denied (publickey).
real 0m0.807s
user 0m0.202s
sys 0m0.006s
3 个赞
brew 里面已降级。
1 个赞
实际上不是 lInux 的话这个后门是不会生效的
2 个赞
这是后门都会有的共同特征吗?所以发现某个进程占用CPU比较高,又找不到原因时可能就是植入后门了,而这样的进程还不少,也找不到替代
请问你是怎么降低的呀,bew uninstall 的时候会报错提示有很多的包依赖 xz
update 再 upgrade,xz 被大量软件依赖,无法被安全卸掉。
1 个赞
brew upgrade 就可以了。不要直接卸载。
1 个赞
不是,只是单纯这个写得烂才这样
1 个赞
像我的debian稳定版的xz版本只有5.4.1
2 个赞
arch linux 的 openssh 不受影响还真是万幸(见 arch 官网)。
在 3 月构建的 archiso 似乎都受到影响了。看来我还要把 arCNiso(我维护的定制 iso)的 3 月份 release 给删掉。
1 个赞
并不是写得烂吧,被修改的 ssh 登陆过程不就是要先让攻击者的私钥认证通过,不通过再 fallback 到正常流程吗?多花些 CPU cycles 无法避免吧。
不过或许可以反过来,先走正常流程,正常流程不通过再验证攻击者的私钥。