新未名空间

nhh 写了： 2024年 4月 2日 23:21 https://www.securityweek.com/supply-cha ... -backdoor/

缩写一下？

发现的早，损失不大。

不过这次对灵牛的攻击很狡猾，不知有什么阴谋，

nhh 写了： 2024年 4月 2日 23:27 根据目前所知，我所挂心的几个：debian stable和ubuntu stable安全，proxmox安全，synology安全

搞这种OS级别的攻击应该都是正规军作战没准跟土鳖禁用微软Intel有关

从来没有用过这个 XZ, 是系统自带的吗

陈胜吴广写了： 2024年 4月 5日 00:45 Tan - 陈

东南亚华裔。不排除CIA。

The cybersecurity community quickly erupted over the weekend when they realized a backdoor in the most recent versions, 5.6.0 and 5.6.1, of XZ Utils. This incident was identified as a supply chain attack, where a GitHub account, handled by Jia Tan (also known as Jia Cheong Tan or JiaT75), had pushed malicious packages and successfully got it merged them into the open-source library xz/liblzma. Following this revelation, CVE-2024-3094 was assigned to this backdoor, with a CVSS Score of 10, indicating the severity of the vulnerability that could allow remote code execution.

程序员都是弱智都不如将军们发个口水贴都要化名

陈胜吴广写了： 2024年 4月 5日 01:04 xz 和 7-zip是关联的（lzma2 lib），7-zip的作者是俄罗斯人。

xz 5.6.0 5.6.1 （发布时间相差一天）
和7-zip 24.02 24.03（发布时间也是相差一天）
都是在3月份连续推出的版本。

我觉得背后有政治阴谋。

Linux 下没用过 7zip，是内置的吗？

看了。如果是国家队，不奇怪。
也有个motivation。

陈胜吴广写了： 2024年 4月 5日 00:45 Tan - 陈

东南亚华裔。不排除CIA。

The cybersecurity community quickly erupted over the weekend when they realized a backdoor in the most recent versions, 5.6.0 and 5.6.1, of XZ Utils. This incident was identified as a supply chain attack, where a GitHub account, handled by Jia Tan (also known as Jia Cheong Tan or JiaT75), had pushed malicious packages and successfully got it merged them into the open-source library xz/liblzma. Following this revelation, CVE-2024-3094 was assigned to this backdoor, with a CVSS Score of 10, indicating the severity of the vulnerability that could allow remote code execution.

中国人，姓谭。

看了下演示

我大部分的工具都容器化了，不怕

这人显然是台湾人，新马的中文教育现在用中国课本，写简体字，用汉语拼音，跟中国的一模一样，所以这人可能是台湾人，或者在台湾上学的马来西亚人。

而且这人搞的xz后门非常小儿科，人只是把sandybox disable了，真正的木马在编译器里，但一般发行版的编译各家有各家的编译器，因为root目录结构不同，所以这人搞xz估计有自己的特定目标，不是你们手里的linux. 最后的结果是自己的目标还没开始，后门却在非目标的linux里暴露了

linux发行版众多，文件结构差异巨大，这样的后门非常容易被发现，如果linux跟mac一样只有一种硬件设计，一个root结构，一个文件格式，后果就完全不同了。

这事本质上也说明了linux的安全性。

陈胜吴广写了： 2024年 4月 5日 07:15 你见过汉语拼音有 cheong吗？

显然不是汉语拼音。

姓 “陈”，马来西亚，陈就拼写成Tan

littlek 写了： 2024年 4月 5日 12:32 这人显然是台湾人，新马的中文教育现在用中国课本，写简体字，用汉语拼音，跟中国的一模一样，所以这人可能是台湾人，或者在台湾上学的马来西亚人。

而且这人搞的xz后门非常小儿科，人只是把sandybox disable了，真正的木马在编译器里，但一般发行版的编译各家有各家的编译器，因为root目录结构不同，所以这人搞xz估计有自己的特定目标，不是你们手里的linux. 最后的结果是自己的目标还没开始，后门却在非目标的linux里暴露了

linux发行版众多，文件结构差异巨大，这样的后门非常容易被发现，如果linux跟mac一样只有一种硬件设计，一个root结构，一个文件格式，后果就完全不同了。

这事本质上也说明了linux的安全性。

扯。。。植入的是通用库，这个库又被所有linux distro用到

陈胜吴广写了： 2024年 4月 5日 07:15 你见过汉语拼音有 cheong吗？

显然不是汉语拼音。

姓 “陈”，马来西亚，陈就拼写成Tan

东南亚没有JIA这个拼写。
这就是个中国人，假装东南亚。
东南亚的科技，没有这种黑客能力。就是中国的国家队才有。

littlek 写了： 2024年 4月 5日 12:32 这人显然是台湾人，新马的中文教育现在用中国课本，写简体字，用汉语拼音，跟中国的一模一样，所以这人可能是台湾人，或者在台湾上学的马来西亚人。

而且这人搞的xz后门非常小儿科，人只是把sandybox disable了，真正的木马在编译器里，但一般发行版的编译各家有各家的编译器，因为root目录结构不同，所以这人搞xz估计有自己的特定目标，不是你们手里的linux. 最后的结果是自己的目标还没开始，后门却在非目标的linux里暴露了

linux发行版众多，文件结构差异巨大，这样的后门非常容易被发现，如果linux跟mac一样只有一种硬件设计，一个root结构，一个文件格式，后果就完全不同了。

这事本质上也说明了linux的安全性。

台湾没有motivation。有motivation的就是国家队。潜伏三年，
700多个checkin。谁在给他开工资？

人只是在code里disable了sandybox而已，病毒在make file的dynamic lib里，你要知道distro怎么编译release就知道，人只是patch difference, 这种Library又没版本要求，谁会用？

显然，有人会用，这会用的人就是他的目标。比如直接从github下载tar文件后编译的。

webdriver 写了： 2024年 4月 5日 13:04 扯。。。植入的是通用库，这个库又被所有linux distro用到

ip和作息是东欧的，别给自己扣屎盆子。开源的安全性和币的去中心化一样经不起考验。

没有

起这种名字
当然是除了中国人
别的都有可能

nhh 写了： 2024年 4月 3日 23:13 明显是国家队啊，就不知道那个Jia Tan是真的是中国人还是栽赃的。

家里所有的服务器和云端服务，全是基于linux的。。。

带任务的囼蛙

trieste 写了： 2024年 4月 5日 14:10 东南亚没有JIA这个拼写。
这就是个中国人，假装东南亚。
东南亚的科技，没有这种黑客能力。就是中国的国家队才有。

新未名空间

没有人关心xz后门吗？

#3 Re: 没有人关心xz后门吗？

#4 Re: 没有人关心xz后门吗？

#5 Re: 没有人关心xz后门吗？

#7 Re: 没有人关心xz后门吗？

#11 Re: 没有人关心xz后门吗？

#13 Re: 没有人关心xz后门吗？

#15 Re: 没有人关心xz后门吗？

#16 Re: 没有人关心xz后门吗？

#18 Re: 没有人关心xz后门吗？

#19 Re: 没有人关心xz后门吗？

#20 Re: 没有人关心xz后门吗？

#21 Re: 没有人关心xz后门吗？

#22 Re: 没有人关心xz后门吗？

#24 Re: 没有人关心xz后门吗？

#26 Re: 没有人关心xz后门吗？

#27 Re: 没有人关心xz后门吗？

#28 Re: 没有人关心xz后门吗？

#29 Re: 没有人关心xz后门吗？