В библиотеке XZ Utils (ex-LZMA) обнаружили критический бекдор
Благодаря ему злоумышленники могут получить доступ к любому актуальному Linux дистрибутиву по SSH. Рейтинг опасности - максимальный
Если у вас версия xz utils 5.6.0 и старше, срочно сделайте даунгред или отключите такой компьютер от сети. Проверить версию xz можно через команду:
xz --version
Интересно, что: - Бекдора не было в исходниках программы и его можно было найти только в собранном виде. Добавлен он был через тесты - Злоумышленник заранее запатчил софт для поиска уязвимостей на игнорирование этого бекдора, например вот PR в гугловый oss-fuzz: https://github.com/google/oss-fuzz/pull/10667 - XZ откатили даже на макбуках
В библиотеке XZ Utils (ex-LZMA) обнаружили критический бекдор
Благодаря ему злоумышленники могут получить доступ к любому актуальному Linux дистрибутиву по SSH. Рейтинг опасности - максимальный
Если у вас версия xz utils 5.6.0 и старше, срочно сделайте даунгред или отключите такой компьютер от сети. Проверить версию xz можно через команду:
xz --version
Интересно, что: - Бекдора не было в исходниках программы и его можно было найти только в собранном виде. Добавлен он был через тесты - Злоумышленник заранее запатчил софт для поиска уязвимостей на игнорирование этого бекдора, например вот PR в гугловый oss-fuzz: https://github.com/google/oss-fuzz/pull/10667 - XZ откатили даже на макбуках
The creator of the channel becomes its administrator by default. If you need help managing your channel, you can add more administrators from your subscriber base. You can provide each admin with limited or full rights to manage the channel. For example, you can allow an administrator to publish and edit content while withholding the right to add new subscribers. Developing social channels based on exchanging a single message isn’t exactly new, of course. Back in 2014, the “Yo” app was launched with the sole purpose of enabling users to send each other the greeting “Yo.” Other crimes that the SUCK Channel incited under Ng’s watch included using corrosive chemicals to make explosives and causing grievous bodily harm with intent. The court also found Ng responsible for calling on people to assist protesters who clashed violently with police at several universities in November 2019. In handing down the sentence yesterday, deputy judge Peter Hui Shiu-keung of the district court said that even if Ng did not post the messages, he cannot shirk responsibility as the owner and administrator of such a big group for allowing these messages that incite illegal behaviors to exist. The channel also called on people to turn out for illegal assemblies and listed the things that participants should bring along with them, showing prior planning was in the works for riots. The messages also incited people to hurl toxic gas bombs at police and MTR stations, he added.
from us
