首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Linux xz 库中的恶意代码危及 SSH

    大多数用户不会受到此恶意软件的影响,但如果它再几个月未被发现,那么每个使用 Linux 的人都将面临有史以来最大的安全灾难。...而其他人则认为,如果它只影响 Fedora Linux 40 beta,情况可能有多糟糕? 答案是:确实非常非常糟糕。...由于 SSH 对于 Linux 开发和管理至关重要,这已经够糟糕的了。 真正使这成为 PITA 主要问题的是这些库不仅仅存在于 Fedora 中。天啊,不。Xz 是一个核心 Linux 实用程序。...好消息是,xz 5.6.0 和 5.6.1 尚未广泛包含在 Linux 发行版中。在合并的地方,代码大部分都是预发布版本。...大多数用户不会受到这种恶意软件的影响,但如果它再两三个月未被检测到,那么每个使用 Linux 的人都将面临有史以来最大的安全灾难。

    31210

    【安全观察】xz 后门启示录

    xz 后门事件的完整时间线 2024 年 3 月 29 日,Openwall OSS-security 邮件列表上的一条信息对于信息安全、开源和Linux社区来说标志着一个重要的发现:在 XZ 中发现了一个恶意后门...XZ 是集成在许多流行的 Linux 发行版中的压缩实用工具。 “XZ Utils 几乎在 Linux 上无处不在。它在几乎所有类 Unix 操作系统上提供无损数据压缩,包括 Linux。...一位名为 Andres Freund[20] 的 Linux 数据库 PostgreSQL 的“维护者”在 Openwall 的邮件中首次披露:xz/liblzma 中的后门导致 ssh 服务器受损。...并且 xz 后门是针对底层操作系统诸如 Linux/Unix 的供应链攻击,Rust 开发者再怎么审查依赖的 crate 也不可能识别出这种后门。...如果 sshd 没有与之链接,整个 xz 的影响本可以减少很多。 xz 问题本质上是Linux和BSD发行商面临的一个运营问题,而不是开发问题。

    51510

    linux学习第十九篇:压缩介绍,gzip,bzip2,xz压缩工具

    file命令可查看文件是压缩文件或者test文件等,如file 1.txt 可查看1.txt是什么类型的文件 linux压缩打包介绍 在windows下我们接触最多的压缩文件就是.rar格式的了。...但在linux下这样的格式是不能识别的,它有自己所特有的压缩工具。但有一种文件在windows和linux下都能使用那就是.zip格式的文件了。...在linux下最常见的压缩文件通常都是以.tar.gz 为结尾的,除此之外还有.tar, .gz, .bz2, .zip, .tar.xz, .tar.bz2等等。...以前也介绍过linux系统中的后缀名其实要不要无所谓,但是对于压缩文件来讲必须要带上。这是为了判断压缩文件是由哪种压缩工具所压缩,而后才能去正确的解压缩这个文件。...xz -z 1.txt //压缩文件1.txt,同上 xz -d 1.txt.xz // -d 解压压缩包1.txt.xz unxz 1.txt.xz //解压压缩包1.txt.xz xz -

    1.5K70

    tar.xz文件如何解压

    XZ压缩最新压缩率之王 xz这个压缩可能很多都很陌生,不过您可知道xz是绝大数Linux默认就带的一个压缩工具。 之前xz使用一直很少,所以几乎没有什么提起。...最新一段时间会经常听到xz被采用的声音,像是最新的archlinux某些东西就使用xz压缩。不过xz也有一个坏处就是压缩时间比较长,比7z压缩时间还长一些。不过压缩是一次性的,所以可以忽略。...如果不设置,默认压缩等级是6. xz解压文件方法或命令 xz -d 要解压的文件 同样使用 -k 参数来保留被解压缩的文件。...创建tar.xz文件:只要先 tar cvf xxx.tar xxx/ 这样创建xxx.tar文件先,然后使用 xz -z xxx.tar 来将 xxx.tar压缩成为 xxx.tar.xz 解压tar.xz...文件:先 xz -d xxx.tar.xz 将 xxx.tar.xz解压成 xxx.tar 然后,再用 tar xvf xxx.tar来解包。

    3.6K100

    如何解压缩 tar.xz 文件

    按照惯例,使用 xz 压缩的 tar 包名字都以 .tar.xz 或者 .txz结尾。 本文讲解了如何使用tar命令来解压缩.tar.xz 或者 .txz 包。...一、解压 tar.xz 文件 tar 工具默认在所有的 Linux 发行版和 macOS 上都已经安装好了。...tar -xf archive.tar.xz -C /home/linuxize/files 二、从 tar.xz 文件中解压指定文件 想要从 tar.xz 文件中解压一个指定的文件,或者多个指定文件,...在下面的这个例子中,我们使用 wget 命令下载 Linux Kernel,并且通过管道将输出传递给tar命令: wget -c https://cdn.kernel.org/pub/linux/kernel.../v5.x/linux-5.5.3.tar.xz -O - | sudo tar -xj 如果你不指定解压缩选项,tar将会提示你应该用哪一个选项: tar: Archive is compressed

    47.3K41

    原创 Paper | xz-utils 后门代码分析

    作者:0x7F@知道创宇404实验室 时间:2024年4月29日 1 前言 xz-utils 是一种使用 LZMA 算法的数据压缩/解压工具,文件后缀名通常为 *.xz,是 Linux 下广泛使用的压缩格式之一...从而实现认证绕过和远程命令执行,该后门涉及 liblzma.so 版本为 5.6.0 和 5.6.1,影响范围包括 Debian、Ubuntu、Fedora、CentOS、RedHat、OpenSUSE 等多个主流 Linux...攻击者将后门目标定向至 sshd 服务,这能使后门在具备隐蔽性的同时产生更大的攻击效益,不过默认情况下 sshd 服务和 xz-utils 并没有联系;部分 Linux 发行版(以Debian为例)在...3 分析环境配置 参考资料 首先我们搭建分析环境,由于 xz-utils 后门事件披露后各 Linux 发行版为降低影响范围对 xz-utils/liblzma.so 进行了版本回退,以及攻击者只在...https://elixir.bootlin.com/glibc/latest/source/sysdeps/generic/ldsodefs.h#L237 [15] https://man7.org/linux

    46910

    XZ安全事件:声誉在安全中的重要性

    译自 XZ Security Incident: The Importance of Reputation in Security,作者 Eric Braun。...过去一个月,开源社区围绕 XZ 安全事件 展开热烈讨论。该事件涉及对 XZ 压缩库的复杂攻击,突显了开源软件生态系统中迫切需要 改进安全措施 和信任机制。...据报道,化名“Jia Tan”的个人在两年时间里为 XZ 库 的繁忙维护者提供帮助。该维护者是 Linux 社区备受尊敬的长期贡献者,最终授予 Jia 提交权限和 XZ 维护权限。...一旦 Jia 获得对库存储库的控制权,就会将一个精心隐藏的后门谨慎地引入 liblzma,这是 Debian、Ubuntu 和 Fedora 等各种 Linux 发行版中 OpenSSH 的依赖项。...对 OSS 信任的系统方法 在 XZ 情况下,问题在于信任。开源开发的开放性和民主性允许任何人,无论背景如何,随时为任何项目做出贡献。

    7810
    领券