/cdn.vox-cdn.com/uploads/chorus_asset/file/23318435/akrales_220309_4977_0232.jpg)
The Verge
·
一名志愿者如何阻止后门暴露全球Linux系统
💡
原文英文,约1000词,阅读约需4分钟。
📝
内容提要
由于一名志愿者发现了XZ Utils压缩格式中的后门,Linux险些避免了一次大规模的网络攻击。该漏洞可能会危及无数系统。红帽和Debian立即采取行动解决了这个问题。此事件突显了开源项目对无偿志愿者的依赖以及在维护和可持续性方面投资的必要性。
🎯
关键要点
- Linux系统因志愿者发现XZ Utils压缩格式中的后门,避免了一次大规模网络攻击。
- 该后门可能危及无数系统,红帽和Debian迅速采取措施解决问题。
- 后门隐藏在Linux的远程登录中,仅对单个密钥暴露,可能导致大多数计算机处于脆弱状态。
- 志愿者Andres Freund在测试中发现异常,最终确认XZ工具和库的版本5.6.0和5.6.1被植入恶意代码。
- 红帽公司发出紧急安全警报,要求用户立即停止使用受影响的Fedora Rawhide版本。
- Debian的安全团队迅速恢复了受影响的包,确保稳定版本未受影响。
- 恶意代码的提交者被识别为XZ Utils的主要开发者之一Jia Tan,可能存在严重的系统安全问题。
- XZ后门事件突显了开源项目对无偿志愿者的依赖及维护和可持续性投资的必要性。
- 开发者指出,依赖无偿志愿者可能导致重大问题,企业应重视对维护的投资。
➡️
