xz爆出10分的核弹级漏洞，开源社区的仓库都被炸没了

这可能是2024年安全界的第一大瓜，所有观众都将是这场事件史诗级安全事件的见证者。用一句比较吸眼球的话概括这个故事。

养父投毒差点毒死养子，社区委员会查封了该家的故事。

漏洞影响

该漏洞发生在压缩软件包xz，的CVE编号CVE-2024-3094。
XZ压缩工具中被发现存在一个严重的安全漏洞，该漏洞被评为10分的危险性，意味着它具有极高的风险等级。这个后门允许攻击者在受影响的系统上长途执行任意代码，可能导致完全控制目标系统。漏洞起源于一个名为JiaT75的用户在GitHub上提交的恶意补丁，这个后门被安全研究职员发现并公开披露，引发了开源社区的广泛关注和告急响应，以确保受影响的系统得到实时的修复和掩护。

事件历程

这篇文章详细的介绍了整个过程，
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
简单理一下整个时间线就是下面这样：
2021年，一个名为 JiaT75（Jia Tan）的用户在 GitHub 上创建了账户，并向 libarchive 项目提交了一个看似无害但实际可疑的补丁。这个补丁被合并到了代码中。
2022年，Jia Tan 通过邮件列表提交了一个补丁，随后一个新的人物 Jigar Kumar 开始施压要求合并这个补丁。不久之后，Jigar Kumar 开始向 XZ 项目的维护者 Lasse Collin 施压，要求增加另一位维护者。在这一过程中，JiaT75 开始对 XZ 项目做出贡献。
2023年，JiaT75 在 1 月 7 日合并了他们的第一个提交，表明他们已经得到了足够的信任。3 月份，Google 的 oss-fuzz 项目的主要联系邮箱被更新为 Jia 的邮箱。
2024年，有人发现并报告了一个上游 XZ/liblzma 库中的后门，这个后门可能导致 SSH 服务器被攻陷。这个发现通过电子邮件发送给了 oss-security 邮件列表，并在文章中提供了详细的技术分析。
因为这个10分的漏洞，xz的开源仓直接被github给封禁了，好家伙，貌似第一次见到因为一个漏洞封禁一个仓库的。

漏洞发现

绝不夸张的讲，这个漏洞差一点点就流入了linux各个发行版中了，假如成功被植入了，将会造成恐怖级的结果，相称于有人拿了一把万能钥匙，可以随时进出金库的大门，将会给天下的各个行业带来不可估量的损失，因为天下大部门行业后端服务器用的操作系统都是linux的各个发行版，像Redhat、Ubuntu、Fedora等，而xz又是非常基础的压缩组件，根本上都会默认安装。
这个漏洞被发现，也是一个很偶然的机会。一个名叫Andres Freund的测试职员观察到在 Debian sid 安装上使用 liblzma（xz 包的一部门）时出现了一些非常症状，通过 SSH 登录时 CPU 使用率非常高，对 sshd 进行分析，表现 liblzma 占用了许多 CPU 时间，但 perf 无法将其归因于任何符号。他发现上游 xz 仓库和发布的 xz 压缩包被植入了后门。
JiaT75是谁

但是目前没有任何关于JiaT75的身份确切消息，由于GitHub是一个全球到场者都可以参加的社区，用户遍布全球各地，JiaT75主页除了邮箱，没有给出任何有用的信息，有人推测是中国的龙芯公司，但这只是胡乱推测的。

不过JiaT75真是个狠人呀，既有技术，又有耐心，精心谋划了3年呀，有这耐心，假如放到正道上，啥不能成功啊！
对开源社区影响

该事件可能会对开源社区产生很大的影响，开源项目和其贡献者可能会面对更加严格的检察，以确保代码的安全性和可靠性。以往的漏洞都是贡献者没有考虑殷勤，也就是说是无心的，但这个赤裸裸本身植入后门真的很让人后怕的。将来开源社区可能会寻求更好的方法来监控和审计代码变更，例如通过主动化工具和更全面的代码检察流程。

更多出色内容，请关注同名公众：一点sir（alittle-sir）

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。