一、免责声明: 本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号望雪阁及作者...
从xz供应链安全事件看开源软件的供应链风险与监管对策
关注我们带你读懂网络安全作者:公安部三所供应链安全能力中心全文共计5000字,阅读约需19分钟2024年3月29日,微软开发人员在liblzma/xz工具和动态库中发现一个涉及混淆恶意代码的供应链攻击...
关于 Linux XZ Utils 漏洞 CVE-2024-3094,您需要了解哪些信息?
开发人员发现了 Linux XZ Utils 中的一个严重漏洞,XZ Utils 是一种用于 XZ 格式压缩的命令行工具。此安全漏洞编号为CVE-2024-3094,可能允许未经授权的用户破坏 ssh...
【漏洞分析】XZ Utilѕ工具库恶意后门植入漏洞(CVE-2024-3094)漏洞分析
漏洞详情近期天翼安全科技有限公司与复旦大学系统软件与安全实验室联合进行软件供应链安全研究,监测到XZ Utils恶意后门,并对漏洞根因、影响范围处置建议进行深入分析,以帮助相关用户及时进行供应链安全治...
【漏洞通报】XZ-Utils / liblzma 被投毒植入恶意代码风险通告(CVE-2024-3094)
0x01 XZ-UtilsXZ 是类 Unix 操作系统上的一种无损数据压缩格式,类似于 gzip 和 bzip2 等其他常见数据压缩格式。XZ-Utils 是一个命令行工具,包含 XZ 文件和 li...
【分析复现】XZ供应链后门漏洞(CVE-2024-3094)处置手册
通告编号:NS-2024-0011-12024-04-03TAG:liblzma/xz、后门漏洞、CVE-2024-3094漏洞危害:攻击者利用此漏洞,可实现SSH未授权代码执行。版本:1.01漏洞概...
XZ Utils(CVE-2024-3094)供应链投毒深度分析
0x01 事件概述近日,微软一名软件工程师Andres Freund公开披露,其观察到liblzma库存在一些奇怪的现象,包括在用ssh远程登录异常及内存错误。经过分析,其确认在liblzma上游组件...
SpringKill的0day|若依后台定时任务存在SSRF漏洞
这个漏洞适合广大水洞的安服兄弟们,这个洞是SpringKill为了支援呆哥在项目上有交付,现场翻源码审的,POC很简单附在文中。SpringKill师傅的Github地址:https://github...
供应链后门检测方式以xz xz-utils为例(CVE-2024-3094)
人类唯一能从历史中吸取的教训就是,人类从不会从历史中吸取到教训xz xz-utils后门事件(CVE-2024-3094),来的很快,当天很多安全公司都发文了,都是一番分析(翻译),包括我。去的也快,...
【长亭科技技术支持】关于防范利用xz-utils恶意代码植入漏洞实施网络攻击的风险提示
供应链安全是当前网络攻击的重灾区,长亭科技技术团队近日发现Linux压缩工具xz-utils存在恶意代码植入漏洞,及时做出应急响应,对该漏洞进行事件溯源和技术分析,给出了针对该漏洞的风险消控方案,并在...
警惕XZ Utils后门事件再现!OpenJS发现类似社会工程学渗透攻击
前不久,开源软件项目XZ Utils被曝植入后门,攻击者通过一系列社会工程学手段取得信任,并接管项目。近日,OpenSSF和OpenJS 基金会发现又一起针对开源生态的社工攻击,成功阻止了攻击者的接管...
连线杂志:XZ后门主谋Jia Tan之谜
导 读遭到挫败的 XZ Utils 供应链攻击酝酿多年,线索表明APT组织是插入恶意代码的幕后黑手。软件供应链攻击是一种日益常见的黑客技术,它将恶意代码隐藏在广泛使用的合法程序中,可以采取多种形式。黑...