XZ Utils 后门仍然潜伏在 Docker 镜像中-低调大师

XZ Utils 后门仍然潜伏在 Docker 镜像中

2025-08-19 102

安全研究公司 Binarly 发布报告称，曾在 2024 年曝光的 XZ Utils 后门仍在部分 Docker 镜像中潜伏，提醒开发者和运维人员容器供应链的潜在风险仍未彻底消除。

xz-utils 软件包曾在 2024 年被发现存在严重后门（CVE‑2024‑3094，CVSS 10.0 分）。该后门通过 liblzma.so 对 OpenSSH 函数加钩子，实现绕过 SSH 认证和远程执行权限操作。

尽管该漏洞在公开后迅速修复，但 Binarly 团队最新扫描显示，截至 2025 年 8 月，仍有 12 个 Debian 官方基础镜像直接包含该后门，并且通过依赖关系，至少有 35 个镜像存在潜在传播风险。

针对该情况，Debian 维护者回应称，这些镜像属于过时开发版，主要保留历史记录，因此选择不移除。Binarly 则提醒，即便利用条件苛刻，这些带网络触发能力的后门镜像仍可能被自动化构建或无意拉取带入生产环境，存在潜在安全威胁。

微信关注我们

原文链接：https://www.oschina.net/news/367240

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

达梦数据：公司董事兼总经理被留置

达梦数据发布公告称，公司于近期收到湖北省应城市监察委员会下发的《立案通知书》及《留置通知书》，对公司董事兼总经理皮宇立案调查并实施留置措施。目前，公司已对相关工作进行妥善安排，预计该事项不会对公司生产经营产生重大影响。其他董事、监事和高级管理人员均正常履职，公司及子公司日常经营情况正常，各项业务稳步推进。

2025-08-19

101

Claudia 是一款强大的桌面应用程序，作为 Claude Code 的图形化命令中心，为 AI 辅助开发工作流程提供了直观的界面。该应用基于 Tauri 2、React 和 TypeScript 构建，填补了 Claude Code CLI 与开发者全面视觉体验之间的空白。 Claudia 通过提供功能丰富的图形用户界面（GUI），改变了开发者与 Claude Code 的交互方式，提升了生产力并简化了 AI 辅助开发流程。该应用程序基于您现有的 Claude Code 安装，自动检测您的~/.claude目录，并为项目、会话和自定义 AI 代理提供可视化界面。 Claudia 为存储在~/.claude/projects/中的所有 Claude Code 项目提供了可视化浏览器。您可以：通过用户友好的界面浏览项目查看并恢复带有完整上下文的过往编码会话搜索特定项目和会话查看会话元数据，包括首次消息和时间戳该应用程序自动检测正在运行的 Claude Code 会话，并允许您从中央界面进行管理。

2025-08-19

112

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。