ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

  		 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

פרסום תגובה

Re: backdoor בחבילת xz אשר מוביל לפרצה ב-ssh (ניקוד: 0)
ע"י פינגווין אנונימי ב 01/04/2024 - 12:15

כמה השגות שלי מהעניין:

* הקומיט הראשון שלו ב 2021 לפרוייקט libarchive היה הוספת חולשה אפשרית:
https://github.com/libarchive/libarchive/pull/1609

* כדי להשתלט על הפרוייקט XZ היו דרושים הנדסת אנוש (נוצרו חשבונות מזויפים כדי להאיץ במתחזק הקיים להחליף אותו במישהו אחר) והכנה מוקדמת (תיקונים שנשלחו)

* התמדה מעל שנתיים של תכנון הדלת האחורית - ייתכן ומדובר בגוף/קבוצה ולא אדם יחיד.

* כתובת IP (משרתי IRC) היא מסינגפור, אך כנראה פרוקסי.

* בקוד ישנן רק שלוש שורות ללא שימוש - הערות בסקריפט שלא באמת דרושות. (השורה השניה מכילה תווים סינים) להלן:
####Hello####
#��Z�.hj�
####World####

* הפורמט של XZ תומך בטריליונים של אלגוריתמים אך שימוש של רק אחד - lzma2, ויתכן שאפילו מאפשר הרצת קוד:
https://www.cisecurity.org/advisory/a-vulnerability-in-xz-utils-could-allow-for-remote-code-execution_2024-033
https://www.nongnu.org/lzip/xz_inadequate.html



שמך: פינגווין אנונימי [ משתמש חדש ]

נושא:


תגובה:

אפשר HTML:  <a> <b> <big> <blockquote> <br> <code> <del> <div> <font> <h1> <h2> <h3> <h4> <h5> <h6> <hr> <i> <iframe> <li> <ol> <p> <param> <pre> <strike> <strong> <table> <td> <th> <tr> <tt> <ul>