來源
iThome新聞
內容
兩週前微軟研究人員Andres Freund意外發現涉及SSH伺服器的供應鏈攻擊,並指出問題是在SSHD(Secure Shell Daemon)採用的資料壓縮程式庫XZ Utils,攻擊者對其中的LMZA壓縮演算法元件liblzma出手,在其程式碼埋入後門,潛伏長達3年,Red Hat將其登記為CVE-2024-3094列管,CVSS風險評分達到10分,震驚整個開源社群及資安界。
【iThome新聞】XZ Utils供應鏈攻擊再傳災情,以Rust打造的程式庫liblzma也遭植入後門程式