xz 开发者植入后门破解 SSH 加密

[onlylove]

https://www.solidot.org/story?sid=77737

Linux 上广泛使用的无损压缩软件包 xz-utils 被该项目的一位维护者秘密植入了后门，后门旨在绕过签名验证未经授权访问开放 SSH 端口的系统。存在后门的版本是 v5.6.0 和 v5.6.1，后门版本尚未进入 Linux 发行版的生产版本，因此影响范围有限，主要影响的是测试版本的 Debian 和 Red Hat 发行版，以及 Arch 和 openSUSE 等。攻击者被认为处心积虑，潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号，之后积极参与了 xz-utils 的开发，获取信任之后成为了该项目的维护者之一。过去几个月，JiaT75 开始非常巧妙的悄悄加入恶意代码，“分阶段通过添加测试用例数据为掩盖放入了恶意代码，并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本，在库中添加了劫持某 OpenSSL 函数的功能，添加了一个 SSH 后门。”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者，以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug，会导致崩溃等，此人随后与 Linux 开发者们频繁联络通信，试图修复问题，并建议他们发现问题后不要公开。目前 JiaT75 的账号以及 xz-utils 库都已被 GitHub 关闭。


https://gist.github.com/thesamesam/2239 ... 78baad9e27
https://news.ycombinator.com/item?id=39865810
https://twitter.com/delphij/status/1773897849107095695

[ghome9]

怕怕，自查了一下，还好，我是老版本； 虽然我也没有开SSHD就是了。
xz --version
xz (XZ Utils) 5.2.5
liblzma 5.2.5