受 XZ 后门事件影响，Ubuntu 24.04 Beta 推迟发布-低调大师

受 XZ 后门事件影响，Ubuntu 24.04 Beta 推迟发布

2024-04-07 351

Ubuntu 24.04 beta 版本原计划于 4 月 4 日发布，为开发人员、测试人员和爱好者提供了几周的时间来测试新功能、查找和报告问题、检查与实际硬件的兼容性和性能等内容。

但受近日被曝出的 XZ 后门事件影响，Ubuntu 24.04 beta 已被推迟至 4 月 11 日发布。

虽然受支持的稳定版 Ubuntu 不受该漏洞影响。Canonical 方面也表示，Ubuntu 24.04 LTS (Noble Numbat) 日常构建中不存在易受攻击的库。但出于谨慎起见，项目团队已经决定重建 noble 库中的每个二进制软件包。

“由于构建依赖关系和链接的复杂性，出于谨慎起见，在恶意代码出现后（2 月 26 日）为 Noble 构建的每个二进制文件都已删除，目前正在重建中。”

官方建议，任何拥有自托管存储库或镜像的用户都应确认其系统中没有受影响的库（liblzma 5.6.0 版本）。以及任何将 liblzma5 手动更新至 5.6.0 版本的用户都应谨慎行事，并考虑系统可能受到的威胁。

微信关注我们

原文链接：https://www.oschina.net/news/286478/ubuntu-24-04-beta-delayed

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

XZ-Utils 5.6.0-5.6.1版本存在后门风险

漏洞描述 XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件，包含liblzma、xz等组件，已集成在Debian、Ubuntu、CentOS等发行版仓库中。开发者JiaT75在其GitHub仓库中发布的5.6.0和5.6.1版本（github.com/tukaani-project/xz/releases/）加入了后门逻辑，使得构建的liblzma包含额外的耗时计算逻辑。 systemd依赖liblzma，导致sshd等依赖于systemd的应用程序也受到影响，sshd服务启动速度变慢，存在未授权访问风险。存在后门版本的xz-utils官方发布于2024年2月24日，被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch Linux等少数仓库集成，暂未被大规模应用，CentOS/Redhat/Ubuntu/Debian/Fedora等stable仓库不受影响。漏洞名称 XZ-Utils 5.6.0-5.6.1版本存在后门风险漏洞类型隐藏功能发现时间 2024-03-30 漏洞影响广度小 MP...

2024-03-30

359

本周早些时候，研究人员公布了一个新发现的与 HTTP/2 相关的漏洞，该漏洞可用于对易受攻击的目标实施拒绝服务（DoS）攻击。在thehackernews的报道中，安全研究员Bartek Nowotarski于 1 月 25 日向卡内基梅隆大学计算机应急小组（CERT）协调中心报告了这一问题。该漏洞被称为"HTTP/2 CONTINUATION Flood"，它利用了配置不当的HTTP/2 实现，这些实现未能限制或净化请求数据流中的 CONTINUATION 帧。 CONTINUATION 帧是一种用于延续报头块片段序列的方法，允许报头块在多个帧中分割。当服务器收到一个特定的 END_HEADERS 标志，表明没有其他 CONTINUATION 或其他帧时，先前分割的报头块就被视为已完成。如果 HTTP/2 实现不限制单个数据流中可发送的 CONTINUATION 帧的数量，就很容易受到攻击。如果攻击者开始向未设置 END_HEADERS 标志的易受攻击服务器发送 HTTP 请求，该请求将允许攻击者向该服务器持续发送 CONTINUATION 帧流，最终导致服务器内存不足而崩溃，...

2024-04-07

404

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。