ブログ - オープンソースライブラリに悪意あるコードの混入
よく食品などで「製造過程で何月から何月までに製造された一部のロットに問題があるので回収」みたいなのがあるけど,最近は様々な最適化が進んで消費期限設定などもキツめになっているから,生産から小売,口に入るまでの時間が短い.つまり回収騒ぎになった頃には既に消費しているだろうな,って事が多いと思う.
今回も2月以降にリリースしたライブラリに想定外のものが入っていたけど,高頻度にソフトウェアアップデートをしていると入り込まれる可能性が高まると言う点で面倒だ.さらに経緯不明.まさに小林製薬と同じ状況か.
ライブラリ「XZ Utils」の一部バージョンに悪意あるコード
https://www.security-next.com/155438
引用:
今回も2月以降にリリースしたライブラリに想定外のものが入っていたけど,高頻度にソフトウェアアップデートをしていると入り込まれる可能性が高まると言う点で面倒だ.さらに経緯不明.まさに小林製薬と同じ状況か.
ライブラリ「XZ Utils」の一部バージョンに悪意あるコード
https://www.security-next.com/155438
引用:
ライブラリ「XZ Utils」の一部バージョンに悪意あるコード
XZ形式データの圧縮や解凍を行うライブラリ「XZ Utils」の一部に悪意あるコードが埋め込まれたことがわかった。同ライブラリはLinuxディストリビューションで広く利用されており、新機能を試すテスト板やベータ版などに侵害されたパッケージが混入していた。
2024年2月以降にリリースされた「同5.6.0」「同5.6.1」の「tarball」に悪意あるコードを埋め込まれていることが判明したもの。パッケージ内の不正なコードが埋め込まれた「liblzma」によってsshのログイン速度が低下し、特定環境ではsshd経由でリモートから侵入することが可能となるおそれがある。悪意あるコードが混入した詳しい経緯はわかっていない。
