В коде xz/liblzma обнаружен бекдор

vs220	# 7 месяцев, 3 недели назад (отредактировано 7 месяцев, 3 недели назад)
Темы: 25 Сообщения: 8524 Участник с: 16 августа 2009	В коде xz/liblzma обнаружен бекдор, пакет xz до версии 5.6.1-2 уязвим для произвольного кода пакет уже пофиксили рекомендуется обновиться https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/commit/7c652d0757eb139de80ae38ff02a9cf235629739 https://www.openwall.com/lists/oss-security/2024/03/29/4 https://security.archlinux.org/ASA-202403-1 Так же удалите у себя если есть из доверенных ключ недобросовестного разработчика @JiaT75 https://github.com/tukaani-project 22D465F2B4C173803B20C6DE59FCF207FEA7F445 . GitHub заблокировал аккаунт @JiaT75 . Аккаунт Лассе Коллина @Larhzu также был приостановлен. Github отключил все репозитории Tukaani, включая загрузки со страницы релизов. Использовался в пакетах из aur mingw-w64-xz.git pacman-static.git Также могли быть затронуты и другие проекты, Jia был частью проекта xz в течение 2 лет Смотрите https://news.ycombinator.com/item?id=39866275 Хронология https://boehs.org/node/everything-i-know-about-the-xz-backdoor

# 7 месяцев, 3 недели назад (отредактировано 7 месяцев, 3 недели назад)

Сообщения: 8524

Участник с: 16 августа 2009

В коде xz/liblzma обнаружен бекдор, пакет xz до версии 5.6.1-2 уязвим для произвольного кода

пакет уже пофиксили рекомендуется обновиться

https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/commit/7c652d0757eb139de80ae38ff02a9cf235629739

https://www.openwall.com/lists/oss-security/2024/03/29/4

https://security.archlinux.org/ASA-202403-1

Так же удалите у себя если есть из доверенных ключ недобросовестного разработчика @JiaT75
https://github.com/tukaani-project

22D465F2B4C173803B20C6DE59FCF207FEA7F445

. GitHub заблокировал аккаунт @JiaT75
. Аккаунт Лассе Коллина @Larhzu также был приостановлен.
Github отключил все репозитории Tukaani, включая загрузки со страницы релизов.

Использовался в пакетах из aur
mingw-w64-xz.git
pacman-static.git

Также могли быть затронуты и другие проекты, Jia был частью проекта xz в течение 2 лет
Смотрите
https://news.ycombinator.com/item?id=39866275
Хронология
https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Bendalf	# 7 месяцев, 2 недели назад (отредактировано 4 месяца, 1 неделя назад)
Темы: 47 Сообщения: 496 Участник с: 14 мая 2019	это может быть фейком-заманухой , чтобы протолкнуть дыру настоящую и побольше ? я наблюдал подозриельную активность по рекламе этого бага, как и с grub ранее. нивелировать можно , ограничив места, откуда принимать соединения на ssh. Верно ? С уважением, .

Bendalf

# 7 месяцев, 2 недели назад (отредактировано 4 месяца, 1 неделя назад)

Темы: 47

Сообщения: 496

Участник с: 14 мая 2019

это может быть фейком-заманухой , чтобы протолкнуть дыру настоящую и побольше ?

я наблюдал подозриельную активность по рекламе этого бага, как и с grub ранее.

нивелировать можно , ограничив места, откуда принимать соединения на ssh.
Верно ?

С уважением, .

vs220	# 7 месяцев, 2 недели назад
Темы: 25 Сообщения: 8524 Участник с: 16 августа 2009	Bendalf может быть фейком бекдор реально встраивался при создании deb или rpm пакетов https://research.swtch.com/xz-script https://github.com/amlweems/xzbot Bendalf чтобы протолкнуть дыру настоящую ну к xz теперь наоборот больше внимания, а переходить на другие библиотеки сжатия пока никто вроде не предлагал

vs220

# 7 месяцев, 2 недели назад

Темы: 25

Сообщения: 8524

Участник с: 16 августа 2009

Bendalf
может быть фейком

бекдор реально встраивался при создании deb или rpm пакетов
https://research.swtch.com/xz-script
https://github.com/amlweems/xzbot

Bendalf
чтобы протолкнуть дыру настоящую

ну к xz теперь наоборот больше внимания, а переходить на другие библиотеки сжатия пока никто вроде не предлагал

Bendalf	# 5 месяцев, 3 недели назад
Темы: 47 Сообщения: 496 Участник с: 14 мая 2019	vs220 другие библиотеки сжатия есть же проверенные временем и до блеска много поточные версии бзип жезип 7зип. мне кажется они не хуже xz С уважением, .