xz-utils 后门事件

一直没用过 xz ，更喜欢 gz ，有没有什么常见的软件是内部使用 xz 并中招了的？

需要明确哪些知名的具体发型版本、软件、库中招了。。。

真的没法一个个去查，普通人太难了。

@AoEiuV020JP 很多源码是 xz 打包的，主要影响的是 lzma ，7z 的默认算法就是这玩意，很多底层的压缩算法都依赖 lzma

@NewYear 运行一下 xz -V ，看下版本，5.6 的就不行

需要回滚到这个老哥第一次提交代码前，他的代码都不可信任，肉眼 review 很难发现问题的

@AoEiuV020JP
受影响的是属于 xz-utils 项目的 liblzma,后者只要用到 lzma 就有可能中招，只是这次攻击代码只针对 systemd+openssh ，分别用来压缩日志和 ssh 流量。
lzma 作为目前最高压缩率的无损压缩算法，应用范围就广了，只是使用方可能选择自己实现而不是链接 liblzma 罢了

@NewYear 5.6.0/5.6.1 ，不是滚动发行版基本碰不到，太新了。

fbi 或国际刑警会追查这人吗

5.2.2

这种基础软件被植入后门，影响太大了

@Eillott 听说人家潜伏 3 年了。得回到 3 年前？

国内关注这个的很少吧？

@conan257 是啊，奇怪，我看外讨论得挺热闹的，国内没啥动静（个人感觉）

5.6 很新的版本，只有尝鲜的滚动发行版才会中招，使用各大 LTS 的不用担心

我看很多人说这个作者“潜伏”了三年，有没有可能作者之前三年真的在认真维护，最近因为某种原因（比如现实中没钱了）开始做恶，或者更善意的假设一下，只是单纯手抖多打了一个 '.'。 现在有没有人审查他之前提交的代码呀。

xz (XZ Utils) 5.4.1
liblzma 5.4.1

基本都是这个版本

@blessingsi 善意的假设也不可能认为他通过提交声称“无意义”的测试文件，然后通过改编译流程的方式内嵌恶意代码的方法是不小心的
麻烦先看新闻再评论

@blessingsi 要是手抖能分别在这么多个 commit 中完成定向地投毒，我宁可相信猴子也能写出莎翁全集。

看了看我的 arch ，目前使用到 liblzma 的只有 libelf ，版本是 liblzma.so=5-64 ，然而 libelf 被 mesa 引用。
mesa 驱动被投毒，这是全军覆没了吧

@blessingsi #14 感觉不太可能 现在对这个人的个人信息 好像没任何人爆料 (说明这个人一开始就隐藏了个人信息) 如果是单纯的维护 感觉没必要这么做

@blessingsi 也许现在的这个人不是账号的主人，但是拿到了管理权

据说 xz 的 5.4.x 版本也被植入病毒了，不仅仅只影响 5.6.x

@dyv9 不一定是潜伏啊，被盗号也有可能？

@blessingsi 你没有看完整整个事情，那个点只是他做的事情之一，并不是后门的主体

哈，termux ，升级后从 5.6.1 降级到了 5.4.5.

自从给我的机器装了 k8s 之后好久都没 sudo pacman -Syu 过了，看了下 xz -V 还是 5.4.5 ，应该躲过一劫（诶嘿

此人在另一个项目，将 safe_fprintf 改 fprintf：
https://github.com/libarchive/libarchive/pull/1609

所有服务器均是 5.2.2

@jhdxr @xycost233 我的问题，没有了解整个上下文，肯定是恶意代码

话说谁看懂了那个后门？

@jhdxr #17

目测至少要比误触预定小米汽车并锁单的用户更加手抖才行

不是原作者，而是后来接手的 Maintainer "Tan Jia"，其实这个互动意外的很有趣且发人深省，可以参考这篇发布[在 Medium 上的文章]( https://robmensching.com/blog/posts/2024/03/30/a-microcosm-of-the-interactions-in-open-source-projects/)，人无完人吧

@blessingsi #14 不太像,他前期将项目源码的第三方安全检查功能的邮箱改为了自己的邮箱,并关闭了部分检查功能, 并且忽略掉了自己投毒的文件. 看起来是怕自己的修改被安全检查发现.

另外对其他项目也做了一些危险的可疑修改.

昨天有个帖子里有检测脚本，可以直接执行：

bash <(curl -sL https://www.openwall.com/lists/oss-security/2024/03/29/4/3)

好家伙有分析认为这个逼可能是个假华裔，冒充自己在+8 时区
https://www.solidot.org/story?sid=77748

@Beebird #33 有没有可能这个网站的脚本被替换了，请求的时候如果 ua 是 curl ，就有一定概率返回一个恶意脚本 。。。

有，所以我一般先 curl -o 下载下来看一遍。 @dhb233

@namonai
@jim9606

最近安装的树莓派也有 xz ，版本是 5.2X ，没事了。谢谢

你的头像哪来的，好睿智哈哈哈😆

下毒者妥妥一枚心机 boy 啊

@xycost233 既然说潜伏，就不可能姓名也不伪装的。

@blessingsi 您是说该作者在 xz-utils 源代码里无意中多打了一个点，而且还无意中修改了编译流程，无意中内嵌了恶意代码，并且在 libarchive 中也无意地干了差不多的事，是这样的吗？😅

@afei418 更新 repo 前
xz-utils/now 5.2.5-1 aarch64 [installed,upgradable to: 5.6.1]
更新后
xz-utils/now 5.2.5-1 aarch64 [installed,upgradable to: 5.6.1+really5.4.5]

@lilei2023 #12 国内用户更新不会这么快，昨天检查了几十台服务器，都是 5.2 版本

@icebergSnow #38 前几天很火的

HackerNews 上看到的 [丑丑头像生成器] - V2EX
https://www.v2ex.com/t/1027006

查了下 centos xz 版本为 5.6.1 ， 要咋降级？

@iOCZS 心机什么 BOY....
这种多重隐藏的后门, 而且还是调查了相关人员的行为习惯之后加进去的后门, 基本上可以认定是某个国家的政府行为了. 为的是给对手国家埋雷

mac 上有 xz 5.6 版本问题大么

@xycost233 #34 为什么我看了他的分析，反而感觉这家伙更像中国人了。。。只有中国社畜才会这么辛苦的工作。。。

@shunia 所以一个中国社畜天天过东欧节日？这还是中国社畜么？

@shunia 中国社畜起码圣诞假期是要上班的吧，欧洲大部分都是圣诞元旦一起放长假，国内就元旦能放

@Jeff1234567 大，brew upgrade 一键降级