受 XZ 后门事件影响，Ubuntu 24.04 Beta 推迟发布-低调大师

受 XZ 后门事件影响，Ubuntu 24.04 Beta 推迟发布

2024-04-07 315

Ubuntu 24.04 beta 版本原计划于 4 月 4 日发布，为开发人员、测试人员和爱好者提供了几周的时间来测试新功能、查找和报告问题、检查与实际硬件的兼容性和性能等内容。

但受近日被曝出的 XZ 后门事件影响，Ubuntu 24.04 beta 已被推迟至 4 月 11 日发布。

虽然受支持的稳定版 Ubuntu 不受该漏洞影响。Canonical 方面也表示，Ubuntu 24.04 LTS (Noble Numbat) 日常构建中不存在易受攻击的库。但出于谨慎起见，项目团队已经决定重建 noble 库中的每个二进制软件包。

“由于构建依赖关系和链接的复杂性，出于谨慎起见，在恶意代码出现后（2 月 26 日）为 Noble 构建的每个二进制文件都已删除，目前正在重建中。”

官方建议，任何拥有自托管存储库或镜像的用户都应确认其系统中没有受影响的库（liblzma 5.6.0 版本）。以及任何将 liblzma5 手动更新至 5.6.0 版本的用户都应谨慎行事，并考虑系统可能受到的威胁。

微信关注我们

原文链接：https://www.oschina.net/news/286478/ubuntu-24-04-beta-delayed

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

XZ-Utils 5.6.0-5.6.1版本存在后门风险

漏洞描述 XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件，包含liblzma、xz等组件，已集成在Debian、Ubuntu、CentOS等发行版仓库中。开发者JiaT75在其GitHub仓库中发布的5.6.0和5.6.1版本（github.com/tukaani-project/xz/releases/）加入了后门逻辑，使得构建的liblzma包含额外的耗时计算逻辑。 systemd依赖liblzma，导致sshd等依赖于systemd的应用程序也受到影响，sshd服务启动速度变慢，存在未授权访问风险。存在后门版本的xz-utils官方发布于2024年2月24日，被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch Linux等少数仓库集成，暂未被大规模应用，CentOS/Redhat/Ubuntu/Debian/Fedora等stable仓库不受影响。漏洞名称 XZ-Utils 5.6.0-5.6.1版本存在后门风险漏洞类型隐藏功能发现时间 2024-03-30 漏洞影响广度小 MP...

2024-03-30

324

本周早些时候，研究人员公布了一个新发现的与 HTTP/2 相关的漏洞，该漏洞可用于对易受攻击的目标实施拒绝服务（DoS）攻击。在thehackernews的报道中，安全研究员Bartek Nowotarski于 1 月 25 日向卡内基梅隆大学计算机应急小组（CERT）协调中心报告了这一问题。该漏洞被称为"HTTP/2 CONTINUATION Flood"，它利用了配置不当的HTTP/2 实现，这些实现未能限制或净化请求数据流中的 CONTINUATION 帧。 CONTINUATION 帧是一种用于延续报头块片段序列的方法，允许报头块在多个帧中分割。当服务器收到一个特定的 END_HEADERS 标志，表明没有其他 CONTINUATION 或其他帧时，先前分割的报头块就被视为已完成。如果 HTTP/2 实现不限制单个数据流中可发送的 CONTINUATION 帧的数量，就很容易受到攻击。如果攻击者开始向未设置 END_HEADERS 标志的易受攻击服务器发送 HTTP 请求，该请求将允许攻击者向该服务器持续发送 CONTINUATION 帧流，最终导致服务器内存不足而崩溃，...

2024-04-07

356

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。