前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >xz爆出10分的核弹级漏洞,开源社区的仓库都被炸没了

xz爆出10分的核弹级漏洞,开源社区的仓库都被炸没了

原创
作者头像
一点sir
发布2024-04-03 21:10:17
3270
发布2024-04-03 21:10:17

这可能是2024年安全界的第一大瓜,所有观众都将是这场事件史诗级安全事件的见证者。用一句比较吸眼球的话概括这个故事。

养父投毒差点毒死养子,社区委员会查封了该家的故事。

漏洞影响

该漏洞发生在压缩软件包xz,CVE编号CVE-2024-3094

XZ压缩工具中被发现存在一个严重的安全漏洞,该漏洞被评为10分的危险性,意味着它具有极高的风险等级。这个后门允许攻击者在受影响的系统上远程执行任意代码,可能导致完全控制目标系统。漏洞起源于一个名为JiaT75的用户在GitHub上提交的恶意补丁,这个后门被安全研究人员发现并公开披露,引发了开源社区的广泛关注和紧急响应,以确保受影响的系统得到及时的修复和保护。

事件历程

这篇文章详细的介绍了整个过程,

https://boehs.org/node/everything-i-know-about-the-xz-backdoor

简单理一下整个时间线就是下面这样:

2021年,一个名为 JiaT75(Jia Tan)的用户在 GitHub 上创建了账户,并向 libarchive 项目提交了一个看似无害但实际可疑的补丁。这个补丁被合并到了代码中。

2022年,Jia Tan 通过邮件列表提交了一个补丁,随后一个新的人物 Jigar Kumar 开始施压要求合并这个补丁。不久之后,Jigar Kumar 开始向 XZ 项目的维护者 Lasse Collin 施压,要求增加另一位维护者。在这一过程中,JiaT75 开始对 XZ 项目做出贡献。

2023年,JiaT75 在 1 月 7 日合并了他们的第一个提交,表明他们已经获得了足够的信任。3 月份,Google 的 oss-fuzz 项目的主要联系邮箱被更新为 Jia 的邮箱。

2024年,有人发现并报告了一个上游 XZ/liblzma 库中的后门,这个后门可能导致 SSH 服务器被攻陷。这个发现通过电子邮件发送给了 oss-security 邮件列表,并在文章中提供了详细的技术分析。

因为这个10分的漏洞,xz的开源仓直接被github给封禁了,好家伙,貌似第一次见到因为一个漏洞封禁一个仓库的。

漏洞发现

毫不夸张的讲,这个漏洞差一点点就流入了linux各个发行版中了,如果成功被植入了,将会造成恐怖级的后果,相当于有人拿了一把万能钥匙,可以随时进出金库的大门,将会给世界的各个行业带来不可估量的损失,因为世界大部分行业后端服务器用的操作系统都是linux的各个发行版,像Redhat、Ubuntu、Fedora等,而xz又是非常基础的压缩组件,基本上都会默认安装。

这个漏洞被发现,也是一个很偶然的机会。一个名叫Andres Freund的测试人员观察到在 Debian sid 安装上使用 liblzma(xz 包的一部分)时出现了一些异常症状,通过 SSH 登录时 CPU 使用率异常高,对 sshd 进行分析,显示 liblzma 占用了很多 CPU 时间,但 perf 无法将其归因于任何符号。他发现上游 xz 仓库和发布的 xz 压缩包被植入了后门。

JiaT75是谁

但是目前没有任何关于JiaT75的身份确切消息,由于GitHub是一个全球参与者都可以参加的社区,用户遍布全球各地,JiaT75主页除了邮箱,没有给出任何有用的信息,有人推测是中国的龙芯公司,但这只是胡乱推测的。

不过JiaT75真是个狠人呀,既有技术,又有耐心,精心谋划了3年呀,有这耐心,如果放到正道上,啥不能成功啊!

对开源社区影响

该事件可能会对开源社区产生很大的影响,开源项目和其贡献者可能会面临更加严格的审查,以确保代码的安全性和可靠性。以往的漏洞都是贡献者没有考虑周到,也就是说是无心的,但这个赤裸裸自己植入后门真的很让人后怕的。未来开源社区可能会寻求更好的方法来监控和审计代码变更,例如通过自动化工具和更全面的代码审查流程。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 漏洞影响
  • 事件历程
  • 漏洞发现
  • JiaT75是谁
  • 对开源社区影响
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档