Log for Ubuntu 台灣社群
No systemd - Resources against systemd and alternatives
https://nosystemd.org/
https://nosystemd.org/
XZ Utils 後門依舊潛藏在 Docker 映像檔中 (★ 98 分)
Binarly REsearch 團隊於去年 3 月底揭露,在 XZ Utils 壓縮工具專案中,一名累積多年貢獻信譽的開發者 Jia Tan 植入一段精密後門。該後門隱藏於「liblzma.so」函式庫,並透過修改 IFUNC(間接函數,Indirect Function)解析器,掛鉤 RSA_public_decrypt、RSA_get0_key 與 EVP_PKEY_set1_RSA 等核心函式,一旦 SSH(Secure Shell)伺服器運行,便可觸發惡意程式以開啟後門通道。
原先後門於多家 Linux 發行版(包括 Debian、Fedora 及 OpenSUSE)的 xz-utils 套件中散播,其後 Binarly 推出免費掃描工具 xz.fail,以 ELF(Executable and Linkable Format,可執行與可連結格式)中可疑 IFUNC 解析器為偵測依據,成功將誤報率降至近乎零。近期進一步發現,受感染的 Debian 基底映像延伸成數十個仍公開於 Docker Hub(Docker 映像檔註冊中心)上的映像,經初步掃描已有超過 35 個映像檔帶有後門,其中 12 個為直接受影響的第一階 Debian 映像,另有多個第二階專案映像基於它們建置而成,顯示後門可能向下遞歸傳播至更深層級。
Binarly 已向 Debian 維護者通報並請求下架受污染的映像,但至今鏡像仍可公開存取。團隊強調,雖然實際利用須容器中啟動 OpenSSH 伺服器並允許網路連線,但公開映像長期存在仍構成潛在風險,尤其在 CI(持續整合,Continuous Integration)流程中可能無形間流入更多下游環境。為了強化供應鏈防護,Binarly Transparency Platform 新增了 YARA(惡意程式特徵檢測工具)規則與 Rule Playground,並在 Black Hat USA(美國黑帽資安大會)上展示如何以二進位層級持續監控與快速回應類似威脅。
在 Hacker News 討論中,不少讀者質疑此後門實際可觸發條件有限,絕大多數 Docker 容器並未執行 OpenSSH,後門程式碼反而成為「死碼」。也有人認為文章標題略顯聳動,因為未更新的映像檔含舊有漏洞可說是常見現象;建議改用更精簡的基底映像(例如 FROM scratch 或僅放單一靜態二進位檔),並主張所有映像都應自行建置與審核,以避免倚賴來路不明的社群映像。更有觀點強調,容器並非安全邊界,應輔以映像掃描和執行時防護,並在 CI 流程中落實持續更新,才能真正降低供應鏈風險。
👥 46 則討論、評論 💬
https://news.ycombinator.com/item?id=44946783
Binarly REsearch 團隊於去年 3 月底揭露,在 XZ Utils 壓縮工具專案中,一名累積多年貢獻信譽的開發者 Jia Tan 植入一段精密後門。該後門隱藏於「liblzma.so」函式庫,並透過修改 IFUNC(間接函數,Indirect Function)解析器,掛鉤 RSA_public_decrypt、RSA_get0_key 與 EVP_PKEY_set1_RSA 等核心函式,一旦 SSH(Secure Shell)伺服器運行,便可觸發惡意程式以開啟後門通道。
原先後門於多家 Linux 發行版(包括 Debian、Fedora 及 OpenSUSE)的 xz-utils 套件中散播,其後 Binarly 推出免費掃描工具 xz.fail,以 ELF(Executable and Linkable Format,可執行與可連結格式)中可疑 IFUNC 解析器為偵測依據,成功將誤報率降至近乎零。近期進一步發現,受感染的 Debian 基底映像延伸成數十個仍公開於 Docker Hub(Docker 映像檔註冊中心)上的映像,經初步掃描已有超過 35 個映像檔帶有後門,其中 12 個為直接受影響的第一階 Debian 映像,另有多個第二階專案映像基於它們建置而成,顯示後門可能向下遞歸傳播至更深層級。
Binarly 已向 Debian 維護者通報並請求下架受污染的映像,但至今鏡像仍可公開存取。團隊強調,雖然實際利用須容器中啟動 OpenSSH 伺服器並允許網路連線,但公開映像長期存在仍構成潛在風險,尤其在 CI(持續整合,Continuous Integration)流程中可能無形間流入更多下游環境。為了強化供應鏈防護,Binarly Transparency Platform 新增了 YARA(惡意程式特徵檢測工具)規則與 Rule Playground,並在 Black Hat USA(美國黑帽資安大會)上展示如何以二進位層級持續監控與快速回應類似威脅。
在 Hacker News 討論中,不少讀者質疑此後門實際可觸發條件有限,絕大多數 Docker 容器並未執行 OpenSSH,後門程式碼反而成為「死碼」。也有人認為文章標題略顯聳動,因為未更新的映像檔含舊有漏洞可說是常見現象;建議改用更精簡的基底映像(例如 FROM scratch 或僅放單一靜態二進位檔),並主張所有映像都應自行建置與審核,以避免倚賴來路不明的社群映像。更有觀點強調,容器並非安全邊界,應輔以映像掃描和執行時防護,並在 CI 流程中落實持續更新,才能真正降低供應鏈風險。
👥 46 則討論、評論 💬
https://news.ycombinator.com/item?id=44946783