Рет қаралды 4,657
一、XZ压缩软件被植入后门漏洞的过程,涉及到一个名为家谈的人在XZ社区潜伏三年并逐渐获得运营控制权,最终导致了本次漏洞的发生。
00:01 - XZ和lip lz may5.6.0到5.6.1版本被植入后门的安全警告
01:14 - 加坦提交了他在X中的第一个page,JAKA施压XZ的作者last colin
02:47 - HANSJASON的账户似乎是专门为提交1pr创建的,XZ项目的主要联系人由last coin变更为家谈
二、一起安全漏洞曝光事件,涉及到Hans Jason、XZ、DAVID、Google OS Fast等多个项目。漏洞的发现和曝光过程也被详细描述。
03:00 - Hans jason试图推动将XZ的漏洞版本包含到DAVID的发行版中
03:53 - 2024年3月29日,一封电子邮件被发送到o security邮件列表,导致后门漏洞曝光
05:31 - XZ的作者LASCOLIN已经修复了家谈植入的恶意代码,并发布了一个FAQ来解释围绕XZ发生的事情
三、一个开源软件中存在的安全漏洞,以及该漏洞可能带来的严重后果。同时,文章也提出了如何构建可信的开源软件的问题。
06:02 - 代码提交时间等线索分析表明二人概率很小
06:18 - 加坦有多个用户名,其中有一个叫家装弹
06:33 - 构建可信的开源软件将是接下来的重要话题