1: 名無しのメタバースさん 0000/00/00(※) 00:00:00.00 ID:metaversesoku
xz-utils の上流バージョンにバックドア仕掛けられてたやつ、発見は偶然だったと。すり抜けなくて良かったな…https://t.co/eizKaZeUY3 pic.twitter.com/mT1SgaFgJU
— シャポコ🌵 (@shapoco) March 30, 2024
xz-utils問題現状まとめ
— 嶋田大貴 (@shimariso) March 30, 2024
- xz-utils 5.6.0/5.6.1のliblzma .soには不正コードが仕込まれてるよ
- 不正なliblzmaのリンクされた/usr/sbin/sshdは攻撃者がフリーパスでログインできてしまうよ(!!)
-…
※: 本日のおすすめサイト記事一覧 0000/00/00(※) ID:metaversesoku
3: 名無しのメタバースさん 0000/00/00(※) 00:00:00.00 ID:metaversesoku
- 今わかっている限り、RHEL/Debian系 Linux以外のビルド環境では不正なコードを組み込まないようになっているので、それ以外のLinuxやMacで具体的に害があるかはわからないよ。どっちにしろ、悪意のあるコードが混入したバージョンであることには変わりないから排除しておくにこしたことはないよ。
— 嶋田大貴 (@shimariso) March 30, 2024
xzにバックドアが仕掛けられていたという怖い話、ついに具体的な事例が出てきたかーという感じ。
— Rui Ueyama (@rui314) March 30, 2024
これ僕にとっては人ごとではなくて、moldなんかは結構価値の高い攻撃対象になり得るんですよね。どういう攻撃があり得るのかと、その対策を以前この動画で話しました。 https://t.co/tlXRCE3IPC
対策と言っても、作っている側の人の対策で使う側の人の対策ではないけど
— Rui Ueyama (@rui314) March 30, 2024
すごい、3年がかりで xz-utils に貢献して信頼を勝ち取った上でバックドアを仕込んだらしい エグすぎるだろ……
— Torishima / INTP (@izutorishima) March 30, 2024
見つけられたのは本当に偶然としか言いようがないし、もし Ubuntu とかまで回ってたら sshd 出してる全ての公開サーバーにパスワードなしでログインできることになって怖すぎる https://t.co/87Ec26w9v9
これさらに巧妙なのが、GitHub のコードにはバックドアを混入させるコード自体は仕込まれておらず公式サイトの tarball にしか入ってなかった上に、肝心のバックドアは liblzma が圧縮ライブラリなのを悪用してテストファイルとして Git に忍び込ませてた二段構えになってること
— Torishima / INTP (@izutorishima) March 30, 2024
4: 名無しのメタバースさん 0000/00/00(※) 00:00:00.00 ID:metaversesoku
中国語のポストは翻訳して読む価値がある。
— くまんぬ (@kumarstack55) March 30, 2024
コミュニティのメンテナの不在期間や、Ubuntu のリリース時期も狙っていた可能性を示唆している。 https://t.co/Y4JayTI5Os
とりあえずメジャーなツールのメンテナで代表作の星がほとんどないやつ、最初のPRが機能追加やバグ修正ではなくテストの追加なやつ、みたいなのをスクリーニングした方が良いと思う https://t.co/MdDDXkhDLr
— Genki Takiuchi (@takiuchi) March 30, 2024
xz-utilsの件、早い段階で気づいてもらえて良かった。恐ろしい。 https://t.co/2iLoWosIM5
— 河原圭佑 / Keisuke KAWAHARA (@ktansai) March 30, 2024
正規Linuxにバックドアが仕掛けられる寸前だったらしい‥OSSでも悪い奴がコミッター昇格する危うい状況 https://t.co/KMdyNyvHIr
— ↻吐龍🪫 (@ip4dragon) March 30, 2024
3年がかりなのエグすぎる。
— RYU@フリーランスITエンジニア (@ryu_hi_jp) March 30, 2024
偶然でも見つかって良かった。 https://t.co/FQQ4b4qtXm
5: 名無しのメタバースさん 0000/00/00(※) 00:00:00.00 ID:metaversesoku
xz-utils / liblzmaにバックドアが仕込まれていたらしい(CVE-2024-3094)
— NV(*´ω`*) (@nvsofts) March 29, 2024
対象は今年2月~3月にリリースされた5.6.0 / 5.6.1
ローリングリリースを採用していたり、不安定版のディストリビューションを使っている人は要確認https://t.co/vNtJIuwca8
【注意喚起】XZ Utilに悪性コードが混入。
— ASHY | @ashy0x41.bsky.social (@ashy0x41) March 30, 2024
対象は5.6.0、5.6.1。
特定条件下でsshd起動時に悪性プログラム(おそらくはバックドア)が実行されうる状況です。
Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 https://t.co/aPWlwJzPZ2
[1/x]
xz-utils にバックドアを仕込んだ JiaT75 氏による libarchive へのプルリクが再度精査された結果、これ意図的に脆弱性増そうとしてない?ということになり大激論
— Torishima / INTP (@izutorishima) March 30, 2024
いやーこれ怖いな、サプライチェーン攻撃の危険性https://t.co/fX0PtRLscm
xz-utils の件、PostgreSQL のメンテナがたった0.5秒だけSSHが遅くなることに気づいて調査してたら気づいたというのが凄いし、Debian sid をバックドアの適用対象外にしてたら判明しなかったというのも惜しさがある
— Torishima / INTP (@izutorishima) March 30, 2024
xz-utilsのバックドア、テストケースがxzの圧縮ファイルであることを利用して差分が見えないバイナリをリポジトリに仕込んだ感じか
— 白山風露 (@kazatsuyu) March 30, 2024
"xz-utils Gentooは5.4.2まで戻してるけど, debianはさらに5.3.1(今回のcodeしこんだ人のcommitが全くない時点)まで戻すことのdiscussionになってる"https://t.co/AD58S0GSbW
— シャポコ🌵 (@shapoco) March 30, 2024
経緯とか技術的な部分の要約。わかりやすい
— 糟屋もふ (@KasuyaMofu) March 30, 2024
xz-utils backdoor situation · GitHub https://t.co/xIpvZ97o6Z
xz-utils のバックドア、あんな攻撃する人がいるんだってのもびっくりだけれど、あれだけ巧妙な手口に気づく人がいるのもビビる...
— Shinya Kato (@0x19f) March 30, 2024
_________________________________________________________________________________
コメントする