原创 岱军 云云众生s 一位神秘的貢獻者植入了後門，在過去兩年中幫助維護了廣泛使用的 xz 壓縮庫。那麼，還有什麼隱藏在裡面？ 譯自Linux xz Backdoor Damage Could Be Greater Than Feared，作者 Joab Jackson。 當你的家被闖入時，你可能最初無法理解被拿走了什麼，或造成了什麼傷害。這就是Linux 社群目前對最近發現的 xz 後門安全漏洞的擔憂。 「這種上游供應鏈安全攻擊是多年來人們一直稱之為歇斯底里的噩夢場景，」Kubernetes 安全主席Ian Coldwater在X 上寫道。 “這是真的。” 一名 Microsoft 工程師首先偵測到後門，他將其追溯到 xz 壓縮庫的最近更新。庫更新是最近的一次，但它已經出現在某些 Linux 發行版的滾動和高級“快速”版本中。 後門需要滿足某些條件和依賴項才能觸發。然而，一旦觸發，攻擊者就可以在完全沒有身份驗證的情況下進入你的系統。 錯誤的程式碼已被迅速清除，但現在的問題是這個後門已經造成的潛在損害——以及是誰植入了這個詭計，他們的目的是什麼。 更令人擔憂的是，這個庫中可能還存在其他尚未發現的後門，或者已經植根於更多伺服器仍在使用的庫的早期版本中。 如果不是愛管閒事的工程師… 感謝那些足夠極客的工程師，他們在SSH 會話中調試緩慢的登入時間。 Microsoft 原理軟體工程師（Principle Software Engineer）Andres Freund注意到他的遠端 ssh 登入比應有的時間長 500 毫秒。他將延遲追溯到 SSH 對liblzma壓縮函式庫發出的系統調用，原因是該函式庫包含在 Freund 的Debian sid安裝中嵌入的xz 實用程式中。 他在安裝過程中用於…