xz-utils؛ وقتی خطر از خود نگهدارندهست
بکدور xz-utils یه آسیبپذیری کد نبود؛ یه نفر دو سال اعتماد جمع کرد، نگهدارنده شد و بعد بکدور رو توی سیستم بیلد جا داد. اسکنرهای CVE فقط نسخههای «شناختهشده بد» رو میگیرن، برای همین قبل از افشا این حمله براشون تمیز بود. به گفتهٔ نویسنده، امنیت زنجیره تأمین یه کار مداومه، نه یه اسکن سر بیلد.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
خلاصهٔ کاملتر
مارس ۲۰۲۴، یه مهندس به اسم Andres Freund متوجه شد اتصال SSH به سرور تستش حدود ۵۰۰ میلیثانیه کندتر شده. همین رو ول نکرد و تهتوش رو درآورد: یه بکدور توی xz-utils، کتابخونهٔ فشردهسازیای که تقریباً هر سیستم لینوکسی بهش وابستهست. اگه به نسخههای پایدار میرسید، به مهاجم روی بخش بزرگی از اینترنت دسترسی root از راه دور میداد.
نکتهای که نویسنده روش تأکید میکنه اینه که این یه باگ نبود، یه ربایش اعتماد بود. یه حساب به اسم Jia Tan از ۲۰۲۱ کمکم با پچهای منطقی و کمک توی پروژه اعتماد جمع کرد تا کو-مِینتینر شد. بعد بکدور رو نه توی سورس گیت، بلکه توی ماکروهای m4 سیستم بیلد گذاشت؛ یعنی سورس روی گیتهاب تمیز بود و فقط تاربال انتشار آلوده بود.
خلاصهٔ کاملتر این خبر رو میتونی با داشتن اشتراک ویژه بخونی!
اشتراک رایگان
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
اشتراک ویژه
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
