xz爆出10分的核弹级漏洞,开源社区的仓库都被炸没了

这可能是2024年安全界的第一大瓜,所有观众都将是这场事件史诗级安全事件的见证者。用一句比较吸眼球的话概括这个故事。

养父投毒差点毒死养子,社区委员会查封了该家的故事。

漏洞影响

该漏洞发生在压缩软件包xz,的CVE编号CVE-2024-3094

XZ压缩工具中被发现存在一个严重的安全漏洞,该漏洞被评为10分的危险性,意味着它具有极高的风险等级。这个后门允许攻击者在受影响的系统上远程执行任意代码,可能导致完全控制目标系统。漏洞起源于一个名为JiaT75的用户在GitHub上提交的恶意补丁,这个后门被安全研究人员发现并公开披露,引发了开源社区的广泛关注和紧急响应,以确保受影响的系统得到及时的修复和保护。

事件历程

这篇文章详细的介绍了整个过程,
https://boehs.org/node/everything-i-know-about-the-xz-backdoor

简单理一下整个时间线就是下面这样:

2021年,一个名为 JiaT75(Jia Tan)的用户在 GitHub 上创建了账户,并向 libarchive 项目提交了一个看似无害但实际可疑的补丁。这个补丁被合并到了代码中。

2022年,Jia Tan 通过邮件列表提交了一个补丁,随后一个新的人物 Jigar Kumar 开始施压要求合并这个补丁。不久之后,Jigar Kumar 开始向 XZ 项目的维护者 Lasse Collin 施压,要求增加另一位维护者。在这一过程中,JiaT75 开始对 XZ 项目做出贡献。

2023年,JiaT75 在 1 月 7 日合并了他们的第一个提交,表明他们已经获得了足够的信任。3 月份,Google 的 oss-fuzz 项目的主要联系邮箱被更新为 Jia 的邮箱。

2024年,有人发现并报告了一个上游 XZ/liblzma 库中的后门,这个后门可能导致 SSH 服务器被攻陷。这个发现通过电子邮件发送给了 oss-security 邮件列表,并在文章中提供了详细的技术分析。

因为这个10分的漏洞,xz的开源仓直接被github给封禁了,好家伙,貌似第一次见到因为一个漏洞封禁一个仓库的。

漏洞发现

毫不夸张的讲,这个漏洞差一点点就流入了linux各个发行版中了,如果成功被植入了,将会造成恐怖级的后果,相当于有人拿了一把万能钥匙,可以随时进出金库的大门,将会给世界的各个行业带来不可估量的损失,因为世界大部分行业后端服务器用的操作系统都是linux的各个发行版,像Redhat、Ubuntu、Fedora等,而xz又是非常基础的压缩组件,基本上都会默认安装。

这个漏洞被发现,也是一个很偶然的机会。一个名叫Andres Freund的测试人员观察到在 Debian sid 安装上使用 liblzma(xz 包的一部分)时出现了一些异常症状,通过 SSH 登录时 CPU 使用率异常高,对 sshd 进行分析,显示 liblzma 占用了很多 CPU 时间,但 perf 无法将其归因于任何符号。他发现上游 xz 仓库和发布的 xz 压缩包被植入了后门。

JiaT75是谁

但是目前没有任何关于JiaT75的身份确切消息,由于GitHub是一个全球参与者都可以参加的社区,用户遍布全球各地,JiaT75主页除了邮箱,没有给出任何有用的信息,有人推测是中国的龙芯公司,但这只是胡乱推测的。

不过JiaT75真是个狠人呀,既有技术,又有耐心,精心谋划了3年呀,有这耐心,如果放到正道上,啥不能成功啊!

对开源社区影响

该事件可能会对开源社区产生很大的影响,开源项目和其贡献者可能会面临更加严格的审查,以确保代码的安全性和可靠性。以往的漏洞都是贡献者没有考虑周到,也就是说是无心的,但这个赤裸裸自己植入后门真的很让人后怕的。未来开源社区可能会寻求更好的方法来监控和审计代码变更,例如通过自动化工具和更全面的代码审查流程。

更多精彩内容,请关注同名公众:一点sir(alittle-sir)

热门相关:不负荣光,不负你   傅爷怀里的假千金真绝了   神秘复苏   末日乐园   龙皇缠身:爱妃,来生蛋!