谁也没想到, Xz/liblzma会被植入后门程序,据说微软连夜加班处理本次后门事件,主流云厂商们也都在加急排查风险和安全修复。
2024年3月29日,开源软件liblzma/xz 5.6.0及5.6.1版本存在安全漏洞,该项目被发现存在后门,这些恶意代码旨在允许SSH未经授权的访问,sshd pubkey登录后门。目前受到影响 xz-utils 版本为5.6.0 和 5.6.1版,而且这些受影响的版本已经被多个 Linux 发行版合并。
xz-utils 是一种使用 LZMA 算法的数据压缩/解压工具,文件后缀名通常为 *.xz,是 Linux 下广泛使用的压缩格式之一。
一个潜伏3年只为通杀的漏洞,今天更新了一个CVE漏洞,XZ-utils5.6.0/5.6.1版本后门风险(CVE-2024-3094)这个后门并非作者无意加入的,也不是引入存在后门的库文件导致的问题,而是有人经过三年的潜伏,积极参与该项目的维护,在获得了直接commit代码的权限以后将后门代码注入其中。
我在B站上面讲解过软件安装全集,其实是怕新手还没入门就放弃,所以只是简单分类,然后强调大家尽量不要碰C源代码软件,能conda就conda,实在不行找二进制可执行程序:
一位神秘的贡献者植入了后门,在过去两年中帮助维护了广泛使用的 xz 压缩库。那么,还有什么隐藏在里面?
上篇文章说到👇,微软公司的开发人员 Andres Freund 在调查 SSH 性能问题时,发现了 xz 软件包中一个涉及混淆恶意代码的供应链攻击。进一步溯源发现 SSH 使用的上游 liblzma 库被植入了后门代码,恶意代码可能允许攻击者通过后门版本的 SSH 非授权获取系统的访问权限。恶意代码修改了 liblzma 代码中的函数,该代码是 XZ Utils 软件包的一部分,链接到 XZ 库的任何软件都可以使用此修改后的代码,并允许拦截和修改与该库一起使用的数据。
这可能是2024年安全界的第一大瓜,所有观众都将是这场事件史诗级安全事件的见证者。用一句比较吸眼球的话概括这个故事。
使用 Python, Node.js 等开发云函数时, 可能遇到的一个问题就是依赖安装. 由于操作系统版本, 系统库版本及语言版本不一致, 有时在本地环境可以运行良好的程序在部署到 SCF 后可能会出现错误.
在使用 VS code 调试Linux远程代码时报错,could not find or load the Qt platform plugin "xcb",本文记录解决方案。 错误复现 VS code 调试远程代码时报错、 This application failed to start because it could not find or load the Qt platform plugin "xcb". Available platform plugins are: linuxfb, mi
xz-utils 是一款流行的压缩工具,在 Linux 系统中广泛使用,这表明了它在软件生态系统中的关键作用。2024 年 3 月 29 日发现的 xz-utils 后门使系统面临潜在的后门访问和远程代码执行风险。它特别针对使用 glibc、systemd 和已修补 OpenSSH 的系统上的 xz-utils 5.6.0 和 5.6.1 版本。…
注意,ldd 本身不是一个二进制程序,而是一个 Shell 脚本,使用文本编辑器 vim 可以查看其内容,具体目录可以使用 which 命令查看:
名字跟大名鼎鼎的柳叶刀期刊撞车,软件主页在:https://github.com/nygenome/lancet
ldd用来输出二进制可执行文件或者库文件的依赖;它本是一个script, 并不是binary 文件,其本质上只是设置了环境变量: D_TRACE_LOADED_OBJECTS、LD_WARN、LD_BIND_NOW、LD_LIBRARY_VERSION、LD_VERBOSE(请参考ldd脚本文件的内容查看具体设置的环境变量)等。当通过export LD_TRACE_LOADED_OBJECTS=VALUE设置变量(该变量的值无所谓)后,那么无论执行任何的二进制可执行文件:都会显示该二进制文件对应的依赖;其效果和ldd 命令一样;
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/xuzhina/article/details/38352179
首先,我们需要更新一下软件源,关于从Jetson Nano开发板中更改软件源的方法,请参考:Chuanrui の 初见之旅-NVIDIA Jetson nano 开发板 Ubuntu系统更换镜像源 (1314.cool):
2024 年 3 月 29 日,Openwall OSS-security 邮件列表上的一条信息对于信息安全、开源和Linux社区来说标志着一个重要的发现:在 XZ 中发现了一个恶意后门。XZ 是集成在许多流行的 Linux 发行版中的压缩实用工具。
所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
本文不一定适合比较老版本的Linux,如果只关心使用,请直接看“总结”,本文主要针对CentOS,其它Linux发行版本类似,但细节可能有出入,比如重启服务可能不是用systemctl,而是service等。
对CVE-2024-3094漏洞的分析文章网上已经有好几篇了,这里来学习一下在该事件中后门隐藏的奇技淫巧。
R是一个常用于统计学问题和画图的免费软件(https://www.r-project.org/)。在线安装十分简单,本文主要介绍离线安装,且让R使用Intel编译器编译、调用Intel MKL库,以期提高计算速度。笔者测试安装和使用R时,所用Linux系统为CentOS 7,R版本为R-3.6.1,Intel编译器(含MKL)2018和2019都用过(分别在两台机器上)。
观察输出,所有依赖的动态链接库都有指向一个内存地址,说明所依赖的链接库都已经被加载入内存,排除了链接库不存在情况,下面就有可能是某个链接库有问题了,接下来做两件事:
压缩工具compress-tools 0.6.0发布。compress-tools是基于libarchive的开发的,并提供部分原库的压缩功能。这个工具现在可以解压:
你可以使用Ubuntu自带的Python3,不过你不能自由的控制版本,还要单独安装pip3,如果你想升级pip3,还会出现一些让人不愉快的使用问题。而在CentOS系统中,默认只有Python2,通过yum安装Python3,也同样面临版本落后以及pip3的问题。如果不自己编译安装,还有什么别的方法来一直保持使用最新的版本呢?!除非你用Win系统。
https://www.python.org/downloads/release/python-370/
Github: https://github.com/ggreer/the_silver_searcher
过去一个月,开源社区围绕 XZ 安全事件 展开热烈讨论。该事件涉及对 XZ 压缩库的复杂攻击,突显了开源软件生态系统中迫切需要 改进安全措施 和信任机制。
前面我们说到,在docker仓库下载的那个容器是错误的,因为它配置的Ubuntu库文件不够,所以我更新了,形成了自己的容器
版权声明:本文为博主原创文章,转载请注明出处。 https://blog.csdn.net/u011054333/article/details/82891843
临近 618 年中大促,各大云服务商也会提供一些优惠。正好我三年前在腾讯云上买的一台 2 核 4G 的虚拟机到期了,看了一下腾讯云的优惠活动,下单了一台 2 核 4G 的的轻量应用服务器(一年期,288 元)。
下载 # 下载源码包至`opt`目录 wget -c -P /opt https://www.python.org/ftp/python/3.8.0/Python-3.8.0.tar.xz # 解压解包 tar - xvf Python-3.8.0.tar.xz cd Python-3.8.0 编译安装 # 更新系统 apt-get update apt-get upgrade apt-get dist-upgrade # 安装依赖库 apt-get install libbz2-dev libncurs
Python离线安装包的下载地址:https://www.python.org/ftp/python/
版权声明:本文为博主原创文章,转载请注明源地址。 https://blog.csdn.net/10km/article/details/83047021
查看 /lib64 目录是 /usr/lib64 的链接目录(文件权限第一位为 l 代表该文件/目录是链接文件/目录)
好的用户体验就是没有体验。 复杂性并不会消失,只会经过不断的理解学习和改善,让复杂性隐藏在一个configure和docker命令中。就像毛坯房并不能拎包入住,还需要装修、配套的商场、菜市场和学校,以及完善的交通。 致谢 SRT从无到有,是施维大神的努力。 SRT从有到好用,是志宏大神的努力。 两位大神有动力做SRT,原因之一是群里热情的SRT用户,在不断尝试和使用SRT。 问题在哪里 FFmpeg要自己编译出来,很难。 SRT要自己编译出来,比较难,因为有个钻石依赖问题(如下图),任何一步的设置或者版
apt-get install libcurl4-openssl-dev
提要:py编译安装成功,hass安装成功,但安装好hass后使用hass命令启动失败,重启后无法进入系统 编译安装Python3.9 更新系统 # 刷新软件包目录 sudo apt update # 执行更新 sudo apt upgrade 安装依赖 本轮测试版可以跳过,eMMC附带的系统已经装好了依赖。 后续正式版不确定,最好装一遍。 sudo apt install gcc sudo apt install build-essential zlib1g-dev libncurses5-dev lib
从14年开始使用这台vps服务器,最近发现jetpack出了问题。貌似是更新php版本之后,新的php-xml模块没有安装,尝试更新相关模块的时候首先要更新epel-release,问题是更新了epel-release之后yum命令就挂了,提示找不到xz!
你是否有过这样的困扰:想使用一个R包,但由于没有root权限而感到束手束脚? 别慌……你只需要用自己的账户重新安装一款R软件,进入到自己目录下的R就可以自由安装R包啦!
开源安全基金会(OpenSSF)宣布了 Siren,这是一项“聚合和传播针对开源项目特有威胁情报的合作努力”。该倡议是在 XZ Utils 入侵之后提出的,在该入侵中,开源项目显然需要更好的方式来传播和接收相关的威胁情报。与企业威胁情报平台(Threat Intelligence Platforms,TIPs)一样,Siren 将提供一个共享战术、技术和程序(Tactics, Techniques and Procedures,TTPs)以及入侵指标(Indicators of Compromise,IoCs)的地方。
perf 是 Linux 官方的性能分析工具,它具备 profiling、tracing 和脚本编写等多种功能,是内核 perf_events 子系统的前端工具。
安装必要的R语言包,如果下载速度比较慢,可选国内清华的R语言镜像,速度extremely fast
lsof 命令是 Linux 系统的扩展工具,它的含义是 list opened filedesciptor (列出已经打开的文件描述符),在 Linux 系统中,所有的与资源句柄相关的东西都可以统一抽象成文件描述符(filedescriptor,简称 fd)。一个文件句柄是一个 fd,一个 socket 对象也可以称之为 fd 等等。
本文关键字:tinycorelinux上从0源码编译seafile,uswgi方式配置运行seafile
研究人员惊恐地发现,在包括Red Hat和Debian在内的多个广泛使用的Linux版本中,一款压缩工具被悄悄植入了恶意代码!
安装 MongoDB 网上有很多教程,MongoDB 官方文档:https://docs.mongodb.com/manual/tutorial/install-mongodb-on-ubuntu/
由于 virtualenvwrapper 是 virtualenv 的一组扩展,所以如果要使用 virtualenvwrapper,就必须先安装 virtualenv。
Docker 创建 Private Repositories 前言 基于GFW的缘故,国内大陆基本无法pull国外的镜像,更别说官方的index了。如果images无法pull下来,那么docker就失去了存在的意义,就更别提国内广大程序猿为docker而献身奋斗了。所以基于此,笔者认为有必要国内用户自行搭建一个Private Repositories。一方面为了更好的研究,使用Docker。另一方面也是为了节省pull和push的时间,要不然动不动就是几十分钟的耗时,谁能承担起这些时间成本。最
领取专属 10元无门槛券
手把手带您无忧上云