文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
Solidot 公告
投 票
热门文章
-
- 微软向石化巨头推销 AI (0)
- Google 向 Android 用户免费提供语音 AI 聊天机器人 Gemini Live (0)
- 科学家在岩石中发现“雪球地球”证据 (0)
- 大模型的幻觉是不可避免地 (0)
- 美国在线约会与收入不平等相关 (0)
- Haiku 释出 R1/Beta5 (0)
- 哈勃发现一对超大质量黑洞 (0)
- Linux 6.11 释出 (0)
- 德国主权科技基金向 Samba 项目投资 69 万欧元 (0)
- Flappy Bird 原作者否认参与了新游戏 (0)
热门评论
- 假新闻 (1 points, 一般) by scottcgi 在 2024年05月07日00时26分 星期二 评论到 中美 AI 芯片竞争
- 使用开源并不是因为便宜 (1 points, 一般) by Craynic 在 2024年04月18日13时19分 星期四 评论到 李彦宏声称开源大模型更昂贵
- 火星的起源找着了 (1 points, 一般) by 18611782246 在 2024年04月15日21时15分 星期一 评论到 水星可能曾和地球一样大
- (1 points, 一般) by solidot1713165490 在 2024年04月15日15时19分 星期一 评论到 美国议员呼吁禁止进口中国制造的电动车
- AI 就像拼音输入法 (1 points, 一般) by jerry 在 2024年04月10日19时48分 星期三 评论到 Google 宣布辅助编程用的开放大模型 CodeGemma
- (1 points, 一般) by solidot1563266937 在 2024年03月02日08时20分 星期六 评论到 美国总统称中国联网汽车有国家安全风险
- You either die a hero (1 points, 一般) by lot 在 2024年02月29日13时34分 星期四 评论到 空气污染与严重痴呆症相关
- 只是从众 (1 points, 一般) by scottcgi 在 2024年02月27日00时40分 星期二 评论到 共情能传播,人能通过观察环境和其他人获得或失去同情心
- 有误 (1 points, 一般) by 陈少举 在 2024年02月23日10时04分 星期五 评论到 Google 暂停了 Gemini 的图像生成功能
- (1 points, 一般) by mirus 在 2024年02月22日14时34分 星期四 评论到 美国阿拉巴马州最高法院裁决冷冻胚胎是“儿童”
Shawn the R0ck 写道:2024年3月29日,一份关于在自由软件社区备受争议的开源项目 xz 软件包被上游源代码中的后门所污染的报告在 oss-security 邮件列表中曝光。这个后门影响到了 liblzma 库,它是 xz 软件包的一部分,在第一份报告发布后有多了很多跟进的研究,内容主要如下,1) 这个后门完整地存在于发布的 xz 源码包中(5.6.0 和 5.6.1 版本),但上游 git 仓库中存在伪装为测试数据,但并未插入 liblzma 中的载荷,而打包前单独加入源码包中的唤醒代码(它们不存在于 git 仓库中,因此从 git 仓库,或由 github 生成的源码包编译的 liblzma 中不会有后门)会将载荷注入到构建过程中。2) 注入的代码修改 Makefile 以包含恶意文件,这些文件在构建过程中被执行,导致进一步的有效载荷注入。3) 这个有效载荷针对的是使用 gcc 和 GNU 链接器的 x86-64 GNU/Linux 系统,并且是 Debian 或 RPM 软件包构建的一部分。4) 恶意代码针对 OpenSSH 服务器进行劫持以实现远程代码执行,但显著降低了登录速度。它通过劫持和修改 liblzma 库中的某些函数来实现这一点,其载荷是间接加载到 sshd 中的。sshd 实现了对 systemd-notify 的支持,liblzma 被加载是因为它是 libsystemd 的其他部分所依赖的,systemd 的复杂度再次成为了实际上的安全隐患。5) 建议立即升级任何可能受影响的系统,因为这些被污染的版本还未广泛被 GNU/Linux 发行版集成。6) 提供了一个脚本来检测系统是否可能受到影响。7)后门投毒者关闭了 LANDLOCK 沙箱,这个已经被主要维护者修复。开源社区诸多用户都对于 systemd 饱受争议的复杂性以及其生态渗透到 GNU/Linux 系统之深本有意见,借愚人节之机满足读者的阴谋论叙事的诉求:幕后黑手其实是 M$,意在摧毁 GNU/Linux 生态,首先,他们秘密收买了 Lennart Poettering,让他开发了 systemd。Lennart 在 M$ 的授意下,将 systemd 逐步渗透到 GNU/Linux 发行版中,为后续行动铺路,2022年3月,M$ 认为可以执行下一步计划了就排出了 Jia Tan 团队跟 xz-utils 社区进行交涉,Lennart Poettering 的任务也宣告结束,2022年6月,M$ 公开召回(雇佣)Lennart,此后 M$ 筹划了 2023 年开始支持 openssh 的 systemd 生态进而让 Jia TAN 去掌控整个 GNU/Linux 生态,只是没想到被一个执着于性能且追求计算美学的工程师破坏了原本完美的计划,M$立马命令Github关闭了相关的帐号以毁灭证据,幸运的是这个蔚蓝色的星球的赛博网络里有时空穿梭机,这让github的重要信息得以保留。