開源軟件雖然好用,不過也同時暴露在惡意程式碼滲透的風險中,最近一個開源壓縮庫就被發現存在後門,幸好得以及早發現,避免了大規模的損害。
開源壓縮庫 xz 最近被 Microsoft 的安全專家 Andres Freund 發現其軟件套件 liblzma 存在一個巧妙隱藏的後門,這個後門可以透過改變受感染系統上的 SSH 守護進程的運行,實現完全的遙距代碼執行,因此造成的影響可以相當嚴重,攻擊者可以在 SSH 連接初始化期間的特定條件下遙距執行命令。
🤯 The level of sophistication of the XZ attack is very impressive! I tried to make sense of the analysis in a single page (which was quite complicated)!
I hope it helps to make sense of the information out there. Please treat the information "as is" while the analysis… pic.twitter.com/N11klcymeP
— Thomas Roccia 🤘 (@fr0gger_) March 31, 2024
xz 在不少 Linux 版本甚至 macOS 都有採用,用於壓縮發佈的 tar 封包和內核映像等等,不過今次發現的後門只影響少量 Linux 版本就被發現。今次事件中更牽涉開發社群中對 xz 開發者 Lasse Collin 的施壓並引入新的參與者「Jia Tan」,然後這些惡意代碼就被陸續加入到項目中,被認為是精心策劃的一場行動。
專家認為,開源項目開發者很多時都是無償地在業餘時間管理,因此要充分維持項目安全其實面對巨大的壓力和挑戰,稍有不慎就會招致嚴重後果。
來源:The Register