即刻App年轻人的同好社区
下载
App内打开
JoeyBlue
65关注30被关注0夸夸
我也盘尼西林过敏
JoeyBlue
24天前
故事曲折离奇

Yachen: 刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。 概括: 1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。 2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。 3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中) 4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd,使得攻击者可以构造特定请求,绕过密钥验证远程访问。 5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。 6. 不幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。 如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。 另外从一些细节能看出来攻击者非常用心: 1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。 2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。 更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。 参考来源: https://boehs.org/node/everything-i-know-about-the-xz-backdoor https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

00
JoeyBlue
3月前
Messi 这种事儿,说白了屁大点事儿,这都能上升到gj层面,都能和爱国扯上关系,真服。
00
JoeyBlue
4月前
基本都是因为 乐夏 听的 坏蛋调频
00
JoeyBlue
4月前
JoeyBlue
7月前
背后有不少故事啊
00
JoeyBlue
8月前
riff 好听,原作歌词也很棒 「背起行囊我要去远远方,远的可以把过去遗忘。」

分享八仙饭店的单曲《单身旅记 (Live)》163cn.tv (@网易云音乐)
00
JoeyBlue
8月前
一瓶500ml 53度(酒精度53%)的茅台价格是2000元左右,一杯酱香拿铁也按500ml近似来算,酒精度不超过0.5%,按0.53%来算,大概放了 1/100瓶的茅台,也就是5ml的茅台酒,价值20块钱左右。我严重怀疑不会有这么多,毕竟优惠完才18一杯,所以距离吹出酒驾还差一截
180
JoeyBlue
8月前
JoeyBlue
10月前
前天突然空调不制冷了,叫过来维修的一看,说空调外机因为过热保护停机了,尼玛...
00
JoeyBlue
10月前
“付出不亚于任何人的努力,...你就能超过 90%的人了” ... 基本等价于 “你要是吃饱了,90%就不会饿了”

小马宋: 考上985与年入100万哪个更难? 昨晚在生财有术的航海群里,亦仁向大家提了一个问题:考上985与年入100万,哪个更难? 当然难不难,属于主观感受,确实很难有准确的结论,如果要是问读过985的人与年入100万的人哪个更多,这个问题就想对比较好回答,我们只要去寻找统计数据就好了。 准确的数字并没有,我看到的是2023年985大学本科招生人数大概是20万人,粗算下来中国985毕业的人数有几百万。那那年入100万有多少人呢?我看了好多统计,有各种口径,数字大概在80万人左右。就算有许多隐形收入,电商自媒体等等一些不能统计到的纳税额,我们把这个数据翻一番,也就是160万人,比985的大学生要少很多。 我本人是西安交大,我太太是北航毕业,我们都毕业大概20年了,我们两个的同学中,能做到100年收入的,也很少。 那为啥会有人觉得身边年入100万的很多?那是因为,观察者偏差。国家统计局的统计数字,是中国有95%的人口月收入不超过5000元,也就是还没达到交社保的基数。但在大厂工作的同学应该会觉得,5000块的收入,是公司保洁阿姨的底薪。 观察者偏差,意思就是我们总觉得跟我们一样的人特别多。所以一线城市的创业者很难与下沉市场的消费者共情,华莱士,塔斯汀,正新鸡排,蜜雪冰城这些品牌,都是出在二三线城市。 还有就是,新闻报道里都是年入百万的,卖煎饼果子也可以年入百万,为啥呢?因为不到年入百万不值得上新闻啊。好多创业者的故事也是,都是放弃百万年薪创业,据说中国被放弃最多的就是百万年薪了。 稳定的年入百万,这种高薪很少,一般公司的总经理,也就是百万年薪吧。大厂里,也并不都是行走的百万收入的高P们。做生意呢,其实中国做生意的小老板们,公司收入几百万还正常,算成利润,那就真的不多了。 怎么才能做到年入百万?我有几个不成熟的建议 1、付出不亚于任何常人的努力。这是稻盛和夫说的,不是我说的。能做到这一条,90%的人就已经输给你了。 2、选择今天最容易赚到钱的领域,所谓选择大于努力。15年前你可以去地产,互联网,今天你可能要去折腾带货和直播知识付费等等了。当然,你也要擅长才行。 3、学习最厉害的那个同行,不要嘲笑我,抄牛人是最快的进步方式。 4、不断创新,只有创新,你才能获得高出同行的利润。 5、超强的执行力。执行力对个人对公司来说,都是极度重要的要素,好想法靠执行,烂想法靠强执行,也能变成不错的生意。 6、等待运气到来。 祝家有考生的朋友们好运。

10