xz活跃维护者“潜伏”三年——添加恶意代码、植入SSH后门

来自公众号：OSC开源社区链接：https://www.oschina.net/news/285463/xz-cve-2024-3094红帽发布了一份 “针对 Fedora Linux 40 和 Fedora Rawhide 用户的紧急安全警报” 指出，最新版本的 xz 5.6.0/5.6.1 工具和库中包含恶意代码，可能允许未经授权的远程系统访问。xz 是一种通用数据压缩格式，几乎存在于每个 Linux 发行版中，包括社区项目和商业产品发行版。从本质上讲，它有助于将大文件格式压缩（然后解压缩）为更小、更易于管理的大小，以便通过文件传输进行共享。红帽已经该漏洞标记为 CVE-2024-3094。目前的调查表明，这些软件包仅存在于 Red Hat 社区生态系统内的 Fedora 41 和 Fedora Rawhide 中，Red Hat Enterprise Linux (RHEL) 的所有版本均不受影响。安全研究人员 Andres Freund 进行的逆向工程分析发现，恶意代码使用巧妙的技术来逃避检测。更多详情可查看此 oss-security 列表。值 ………………………………