XZ Utils 后门仍然潜伏在 Docker 镜像中-低调大师

XZ Utils 后门仍然潜伏在 Docker 镜像中

2025-08-19 140

安全研究公司 Binarly 发布报告称，曾在 2024 年曝光的 XZ Utils 后门仍在部分 Docker 镜像中潜伏，提醒开发者和运维人员容器供应链的潜在风险仍未彻底消除。

xz-utils 软件包曾在 2024 年被发现存在严重后门（CVE‑2024‑3094，CVSS 10.0 分）。该后门通过 liblzma.so 对 OpenSSH 函数加钩子，实现绕过 SSH 认证和远程执行权限操作。

尽管该漏洞在公开后迅速修复，但 Binarly 团队最新扫描显示，截至 2025 年 8 月，仍有 12 个 Debian 官方基础镜像直接包含该后门，并且通过依赖关系，至少有 35 个镜像存在潜在传播风险。

针对该情况，Debian 维护者回应称，这些镜像属于过时开发版，主要保留历史记录，因此选择不移除。Binarly 则提醒，即便利用条件苛刻，这些带网络触发能力的后门镜像仍可能被自动化构建或无意拉取带入生产环境，存在潜在安全威胁。

微信关注我们

原文链接：https://www.oschina.net/news/367240

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

达梦数据：公司董事兼总经理被留置

达梦数据发布公告称，公司于近期收到湖北省应城市监察委员会下发的《立案通知书》及《留置通知书》，对公司董事兼总经理皮宇立案调查并实施留置措施。目前，公司已对相关工作进行妥善安排，预计该事项不会对公司生产经营产生重大影响。其他董事、监事和高级管理人员均正常履职，公司及子公司日常经营情况正常，各项业务稳步推进。

2025-08-19

141

Claudia 是一款强大的桌面应用程序，作为 Claude Code 的图形化命令中心，为 AI 辅助开发工作流程提供了直观的界面。该应用基于 Tauri 2、React 和 TypeScript 构建，填补了 Claude Code CLI 与开发者全面视觉体验之间的空白。 Claudia 通过提供功能丰富的图形用户界面（GUI），改变了开发者与 Claude Code 的交互方式，提升了生产力并简化了 AI 辅助开发流程。该应用程序基于您现有的 Claude Code 安装，自动检测您的~/.claude目录，并为项目、会话和自定义 AI 代理提供可视化界面。 Claudia 为存储在~/.claude/projects/中的所有 Claude Code 项目提供了可视化浏览器。您可以：通过用户友好的界面浏览项目查看并恢复带有完整上下文的过往编码会话搜索特定项目和会话查看会话元数据，包括首次消息和时间戳该应用程序自动检测正在运行的 Claude Code 会话，并允许您从中央界面进行管理。

2025-08-19

199

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。