- https://nvd.nist.gov/vuln/detail/CVE-2024-3094 > Malicious code was discovered in the upstream tarballs of xz, starting with version 5.6.0. Through a series of complex obfuscations, the liblzma build process extracts a prebuilt object file from a disguised test file existing in the source code, which is then used to modify specific functions in the liblzma code. This results in a modified liblzma library that can be used by any software linked against this library, intercepting and modifying the data interaction with this library. > バージョン 5.6.0 以降の xz の上流の tarball で悪意のあるコードが発見されました。 liblzma ビルド プロセスは、一連の複雑な難読化を通じて、ソース コード内に存在する偽装テスト ファイルからビルド済みオブジェクト ファイルを抽出します。このファイルは、liblzma コード内の特定の関数を変更するために使用されます。これにより、変更された liblzma ライブラリが作成され、このライブラリにリンクされた任意のソフトウェアで使用できるようになり、このライブラリとのデータ対話が傍受および変更されます。 (Google翻訳) - https://www.openwall.com/lists/oss-security/2024/03/29/4 - https://twitter.com/shapoco/status/1773930645091389937 > xz-utils の上流バージョンにバックドア仕掛けられてたやつ、発見は偶然だったと。すり抜けなくて良かったな… https://social.mikutter.hachune.net/@naota344/112182087869113797 https://pbs.twimg.com/media/GJ5BW-xbEAAnlQH?format=png&name=small#.png *. [#k7f72ade] - xz-utilsのtarballに不正なコードが混入されていた件(backdoor) -- https://qiita.com/phoepsilonix/items/eed3d82d89851f330aab * 関連 [#rel] - [[XZ]] |