热门标签:
Mac 多显示器 显示器扩展 requests patch 并发 Alpine Linux BSD Linux 电动汽车 全部标签

开源供应链攻击:xz压缩软件后门事件详解

2025-03-22

2024年3月,一个名为Jia Tan的恶意维护者在xz压缩软件中植入了后门,三年来潜伏未被发现。该后门允许远程执行代码,影响所有安装了ssh的机器。一位Postgres开发者Andres Freund在调查ssh性能问题时偶然发现并阻止了灾难。本文深入探讨了后门的工作机制,以及如何利用构建可重复性进行检测。后门通过修改xz构建过程,注入恶意目标文件,并利用glibc的ifunc机制钩住ssh的RSA_public_decrypt函数,从而实现远程代码执行。作者建议从可信源构建软件,并利用构建可重复性来增强软件供应链安全,例如比较GitHub提供的源码包和维护者提供的tarball,以及检查不同构建源的二进制文件是否一致。

阅读更多
(luj.fr)
科技 xz后门

NixOS 的构建可重复性:比你想象的更好

2025-02-12

长期以来,NixOS 的构建可重复性一直备受争议。有人认为其功能性包管理器模型虽然有助于构建可重复性,但无法保证所有构建都实现位级可重复性。一篇新的研究论文对 Nixpkgs(NixOS 的软件包集合)进行了为期六年的研究,结果显示其可重复性比率稳步提高,从 2017 年的 69% 增长到 2023 年 4 月的 91%。研究还识别出导致不可重复性的主要原因,例如嵌入日期、uname 输出、环境变量和构建 ID 等。这些发现表明,即使 Nixpkgs 已经实现了很高的可重复性率,但仍然存在一些改进的空间,例如通过解决这些低垂的果实来进一步提高可重复性。这项研究对于增强对 Nix 替换协议的信任,并推动基于构建可重复性的分布式缓存解决方案至关重要。

阅读更多
(luj.fr)
开发 构建可重复性