vs220 |
|
Темы:
25
Сообщения:
8524
Участник с: 16 августа 2009
|
В коде xz/liblzma обнаружен бекдор, пакет xz до версии 5.6.1-2 уязвим для произвольного кода пакет уже пофиксили рекомендуется обновиться https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/commit/7c652d0757eb139de80ae38ff02a9cf235629739 https://www.openwall.com/lists/oss-security/2024/03/29/4 https://security.archlinux.org/ASA-202403-1 Так же удалите у себя если есть из доверенных ключ недобросовестного разработчика @JiaT75 https://github.com/tukaani-project 22D465F2B4C173803B20C6DE59FCF207FEA7F445 . GitHub заблокировал аккаунт @JiaT75 Использовался в пакетах из aur mingw-w64-xz.git pacman-static.git Также могли быть затронуты и другие проекты, Jia был частью проекта xz в течение 2 лет Смотрите https://news.ycombinator.com/item?id=39866275 Хронология https://boehs.org/node/everything-i-know-about-the-xz-backdoor |
Bendalf |
|
Темы:
49
Сообщения:
510
Участник с: 14 мая 2019
|
это может быть фейком-заманухой , чтобы протолкнуть дыру настоящую и побольше ? я наблюдал подозриельную активность по рекламе этого бага, как и с grub ранее. нивелировать можно , ограничив места, откуда принимать соединения на ssh. Верно ?
С уважением, .
|
vs220 |
|
Темы:
25
Сообщения:
8524
Участник с: 16 августа 2009
|
Bendalfбекдор реально встраивался при создании deb или rpm пакетов https://research.swtch.com/xz-script https://github.com/amlweems/xzbot Bendalfну к xz теперь наоборот больше внимания, а переходить на другие библиотеки сжатия пока никто вроде не предлагал |
Bendalf |
|
Темы:
49
Сообщения:
510
Участник с: 14 мая 2019
|
vs220есть же проверенные временем и до блеска много поточные версии бзип жезип 7зип. мне кажется они не хуже xz
С уважением, .
|