TLDR:
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd,使得攻击者可以构造特定请求,绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。
另外从一些细节能看出来攻击者非常用心:
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。
https://x.com/Blankwonder/status/1773921956615877110?s=20
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd,使得攻击者可以构造特定请求,绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。
另外从一些细节能看出来攻击者非常用心:
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。
https://x.com/Blankwonder/status/1773921956615877110?s=20
xz-utils 在 github 上发布的 tarball 的 m4 中包含了恶意后门代码
https://www.openwall.com/lists/oss-security/2024/03/29/4 (英文)
https://lists.debian.org/debian-security-announce/2024/msg00057.html (英文)
==== 忙着查资料的被子饼 ====
目前的证据表明这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本,且均已发布回退更新
目前确定曾受影响的发行版:
Debian unstable/testing between 2024-02-26 and 2024-03-29
Ubuntu noble-proposed between 2024-02-26 and 2024-03-29
Fedora 40/41 between 2024-02-27 and 2024-03-29
openSUSE Tumbleweed between 2024-03-07 and 2024-03-28
https://www.openwall.com/lists/oss-security/2024/03/29/4 (英文)
https://lists.debian.org/debian-security-announce/2024/msg00057.html (英文)
==== 忙着查资料的被子饼 ====
目前的证据表明这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本,且均已发布回退更新
目前确定曾受影响的发行版:
Debian unstable/testing between 2024-02-26 and 2024-03-29
Ubuntu noble-proposed between 2024-02-26 and 2024-03-29
Fedora 40/41 between 2024-02-27 and 2024-03-29
openSUSE Tumbleweed between 2024-03-07 and 2024-03-28
春日望(Kizuna AI 声音模型提供者) 正式宣布合约期满,退任 Kizuna AI 株式会社顾问
https://twitter.com/KizunaAIinc/status/1773560806036197460
https://twitter.com/KizunaAIinc/status/1773560806036197460
内地著名作家、电影《让子弹飞》原著作者马识途逝世,享高寿110岁。
中新网报道,指于马识途家人处获悉,革命家、作家、书法家马识途因病医治无效,于3月28日晚19时25分去世,享年110岁。
电影改编自四川作家马识途的长篇小说《夜谭十记》中的第三记《盗官记》一节,片长约2小时12分。 电影中以辛亥革命后的北洋时代初期为背景,并以鸿门宴和小凤仙作为戏中题材。
来源:星岛日报
中新网报道,指于马识途家人处获悉,革命家、作家、书法家马识途因病医治无效,于3月28日晚19时25分去世,享年110岁。
电影改编自四川作家马识途的长篇小说《夜谭十记》中的第三记《盗官记》一节,片长约2小时12分。 电影中以辛亥革命后的北洋时代初期为背景,并以鸿门宴和小凤仙作为戏中题材。
来源:星岛日报
与此同时,十天前隔壁的 #火星慢讯 :
Gumroad 正式宣布封杀平台中的成人内容。
https://help.gumroad.com/article/156-gumroad-and-adult-content
Gumroad 正式宣布封杀平台中的成人内容。
https://help.gumroad.com/article/156-gumroad-and-adult-content
PayPal 称 Pixiv 违反其条款;Pixiv/Fanbox 收紧 PayPal 使用限制。
Pixiv 及 Fanbox 公布的支付方式支持修改包括:
* 在 Pixiv 注册高级会员及约稿时将无法使用 PayPal 付款 [1]。
* 在 Fanbox 上,之前未有使用过 PayPal 的用户将无法使用 PayPal 支持 R-18 创作者 [2]。
1. pixiv.net/~
2. official.fanbox.cc/~
#PayPal #Pixiv #Fanbox
Pixiv 及 Fanbox 公布的支付方式支持修改包括:
* 在 Pixiv 注册高级会员及约稿时将无法使用 PayPal 付款 [1]。
* 在 Fanbox 上,之前未有使用过 PayPal 的用户将无法使用 PayPal 支持 R-18 创作者 [2]。
1. pixiv.net/~
2. official.fanbox.cc/~
#PayPal #Pixiv #Fanbox
pixiv
對於居住在日本以外地區的所有用戶,在註冊pixiv高級會員時,現均支援選擇信用卡付款
親愛的用戶,您好。
自2024年3月21日起的一段時間內,居住在日本以外地區,且用戶設定的「瀏覽限制」(R-18、R-18G)設定為「顯示」的用戶,在註冊pixiv高級會員時有部分付款方式無法選擇。…
自2024年3月21日起的一段時間內,居住在日本以外地區,且用戶設定的「瀏覽限制」(R-18、R-18G)設定為「顯示」的用戶,在註冊pixiv高級會員時有部分付款方式無法選擇。…
日本警方逮捕香港游客 涉嫌违法下载游戏厅音游曲目
这名香港游客今年21岁,被控在20日下午在大阪市内一家游戏厅直接连接音乐游戏的电脑端,下载了6首曲目。·实际上在去年11月时,该街机厅曾举报被人非法下载游戏厅音游曲目,本次则是同样有新曲发布时,警方秘密布置了监视,直接抓获嫌犯现行。·目前警方正在调查该名嫌犯下载音游曲目的目的。 ...
PC版:https://www.cnbeta.com.tw/articles/soft/1424845.htm
手机版:https://m.cnbeta.com.tw/view/1424845.htm
这名香港游客今年21岁,被控在20日下午在大阪市内一家游戏厅直接连接音乐游戏的电脑端,下载了6首曲目。·实际上在去年11月时,该街机厅曾举报被人非法下载游戏厅音游曲目,本次则是同样有新曲发布时,警方秘密布置了监视,直接抓获嫌犯现行。·目前警方正在调查该名嫌犯下载音游曲目的目的。 ...
PC版:https://www.cnbeta.com.tw/articles/soft/1424845.htm
手机版:https://m.cnbeta.com.tw/view/1424845.htm
家庭共享能让您玩其他家庭成员库中的游戏,即使对方正在线玩其他的游戏。 如果家庭库中有同一款游戏的多个副本,多名家庭成员将可以同时玩该游戏。
多位测试发现如果建立者和成员不在同一账号地区,则无法使用这个功能。
https://keylol.com/t940364-1-1
多位测试发现如果建立者和成员不在同一账号地区,则无法使用这个功能。
https://keylol.com/t940364-1-1
