Skip to content

기글하드웨어기글하드웨어

인터넷 / 소프트웨어 : 윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다.

일반
2024.03.31 21:34

xz 백도어버전 당첨이군요...

profile
조회 수 4273 댓글 6
Extra Form

https://gigglehd.com/gg/15761156

 

이 글에서 내용 확인한 후에 혹시 내 것도 백도어 버전이...? 라는 생각이 들어 조회를 해 봤습니다.

(현재 문제가 되는 버전은 5.6.0 및 5.6.1입니다.)

image.png

 

이런... 당첨입니다.

 

image.png

다만 버전 조회를 하실 때 주의하셔야할 점이, anaconda / miniconda를 설치하셨다면 기본 바이너리 위치가 miniconda 내의 그것으로 되어있어 다른 버전이 조회될 수 있기 때문에 which xz로 xz 바이너리 위치를 확인하고, xz --version / brew info xz <- 둘다 체크해보시는 게 좋습니다.

 

일단 조치 방법은 간단히 아래 커맨드로 xz를 구버전으로 설치하고 캐시를 지우면 됩니다.

 

brew cleanup xz --prune=0

brew install xz

 

이렇게 하면 5.4.6버전으로 자동 다운그레이드가 됩니다.

그렇지만 사실 이번 건은 주요 메인테이너가 저지른 짓인 만큼 현재 걸린 5.6.1버전 외에 과거에도 무슨 장난을 쳐 놨을지 알수가 없는 상태인게 문제입니다...

 

image.png

 

이것 외에도 쓰고있는 리눅스 머신이 한두개가 아닌데, 제 작은 노트북에서조차 이렇게나 의존성이 문어발같은 패키지가 이런 일이 벌어졌다는게 안타깝네요.

 

image.png

참고로 이 취약점은 CVSS Severity 10/10을 받았습니다.

여러분도 꼭 한번 확인해보시기 바랍니다.



  • ?
    title: 부장님Neons 2024.03.31 23:10
    1. 당장 알려진 공격 경로는 .deb/.rpm 배포판이라서 맥은 알려진 공격 경로가 없긴 합니다.
    2. 이제 널리 알려진 오픈소스 프로젝트의 주요 기여자조차 의심해야 하는 상황이 되었어요. 어제 자료조사를 하다가 좀 덜 알려진 오픈소스 프로젝트를 잠깐 찍먹해보려고 했는데 얘네도 백도어 심어놓은 것 아냐? 덜컥 겁부터 나는거에요.
  • profile
    title: 저사양Colorful 2024.03.31 23:16
    사실 리눅스쪽이 난리긴 하고 맥은 좀 조용한 상태이지만 조심해서 나쁠 건 없으니까요!
    그리고 업무용으로 리눅스 머신(훈련용 노드들)이 몇개 있어서... 이쪽도 내일 출근하면 바로 조치하려구요.

    이번 사태 주동자가 가장 먼저 기여한게 libarchive로 알려져서 이쪽도 코드 전면 재검토ing인걸 보면 당분간 오픈소스 프로젝트 쓸 때 주의를 많이 해야할 것 같습니다.
  • ?
    포인트 팡팡! 2024.03.31 23:16
    Colorful님 축하합니다.
    팡팡!에 당첨되어 5포인트를 보너스로 받으셨습니다.
  • profile
    ExpBox      허허허 2024.04.02 18:48
    ubuntu 22.04.4 GPU서버 미니콘다 xz 5.4.6에 /bin/xz 5.2.5 버전이고
    ARM ubuntu 22.04.2 서버 두 개 xz 5.2.5 버전으로 구버전을 일단 쓰고있기는 하네요.
    맥은 저도 brew는 5.6.1버전으로 백도어 버전이긴하네요. 다운그레이드 하긴 해야겠습니다 ㅠ
  • ?
    수중생물 2024.04.02 21:04
    궁금해서 살펴보니

    pacman -Qs xz
    local/xz 5.6.1-3
    Library and command line tools for XZ and LZMA compressed files

    이렇네요.

    지금 버전은 수정이 된 것 같고 이전에 사용했던 버전들이
    https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/commits/main
    연속 당첨이었겠네요.
  • profile
    Induky      자타공인 암드사랑 정회원입니다 (_ _) 2024.04.02 22:56
    10점 만점에 10점짜리 취약점이라.. ㄷㄷㄷ
    다행히 저는 패키지 기본버전이라 5.4.1이긴 한데 불안하긴 하네요.


  1. No Image

    1일부터 MVNO 회선 신규 개통 시 신분증 스캐너 사용 의무화

    [소식] 휴대폰 집단상가 가보니…"오늘부터 알뜰폰 개통 안돼요" [현장에서] 아이뉴스24 보도입니다. 2024년 4월 1일부터 MVNO 회선 신규 개통 시 신분증 스캐너를 의무적으로 사용하도록 규정이 바뀌었습니다. 참고/링크에 올려 둔 기사는...
    Date2024.04.02 소식 Bytitle: 컴맹임시닉네임 Reply12 Views652
    Read More
  2. 2024 어도비 서밋, 스닉에서 발표한 기능

    어도비 서밋 2024에서 어도비 클라우드를 위한 새로운 기능이 발표됐습니다. 어도비 익스피리언스 플랫폼 AI 어시스턴트입니다. 고객 체험 관리를 위한 어도비 익스피리언스 클라우드에 추가되는 기능으로, 자연어를 지원하는 AI 어시스턴...
    Date2024.04.01 소식 By낄낄 Reply1 Views381 file
    Read More
  3. No Image

    동기화는 조심해야겠어요

    1분기가 지났으니 기글 전체 백업을 돌려놓고, 용량이 너무 크니까 대역폭 제한해서 조금씩 받고 있는데요. 갑자기 KT QoS 적용 문자가 오더라고요? 어제 밤에 노트북 테스트한다고 게임 업데이트를 좀 했더니 그런건가 했죠. 이걸로 끝났...
    Date2024.04.01 일반 By낄낄 Reply9 Views520
    Read More
  4. 역시 테무의 가격은 개인정보에서 나오는군요

    알리를 끊을려고 테무를 가입했다가 쿠폰 방식이 너무 짜증나서 아무것도 안 사고 방치 후 앱을 삭제했는데요. 두어달 지나니 이런 게 오는군요. 테무 가입한 메일 계정으로 테무 로고를 넣은 스팸 메일입니다. 물론 테무에서 직접 보낸 ...
    Date2024.04.01 일반 By낄낄 Reply4 Views1059 file
    Read More
  5. No Image

    오픈AI와 MS, 1000억 달러의 데이터센터 프로젝트를 계획 중

    오픈AI와 마이크로소프트가 1000억 달러를 투자해 수백만개의 GPU를 갖춘 데이터센터를 건설하는 프로젝트, 이름하여 스타게이트를 추진 중입니다. 현재 운영하는 가장 큰 데이터센터보다 100배 정도 더 비쌀 것이라고 하며, 2028년까지 ...
    Date2024.04.01 소식 By낄낄 Reply3 Views463
    Read More
  6. MS의 Copilot 정책 - 인터넷 연결없이도 가능하게

    일단, 3월 21일날 MS가 첫 'AI PC'를 내놓았습니다. 이 AI PC의 정의에 대해서 인텔은 'NPU와 VNNI 및 Dp4a 명령를 처리할수 있는 최신 GPU'를 장착한 컴퓨터란 답변을 했습니다. https://www.theregister.com/2024/03/12/what_is_an_ai_p...
    Date2024.04.01 소식 Bytitle: 폭8책읽는달팽 Reply3 Views918 file
    Read More
  7. xz 백도어버전 당첨이군요...

    https://gigglehd.com/gg/15761156   이 글에서 내용 확인한 후에 혹시 내 것도 백도어 버전이...? 라는 생각이 들어 조회를 해 봤습니다. (현재 문제가 되는 버전은 5.6.0 및 5.6.1입니다.)   이런... 당첨입니다.   다만 버전 조회를 하...
    Date2024.03.31 일반 Bytitle: 저사양Colorful Reply6 Views4273 file
    Read More
  8. NetBSD 10 공식 릴리즈

    NetBSD 10이 공식 릴리즈 되었습니다. 2019년에 9가 나온 이후로 5년만입니다.   성능과 기능, 하드웨어 지원 모두 9.x에 비하여 크게 개선되었습니다. 자세한 내용은 원문에서 확인하시기 바랍니다.  
    Date2024.03.31 소식 By헥사곤윈 Reply0 Views527 file
    Read More
  9. 디시인사이드, 고정닉 신청 정책 변경

    [소식] 관련 글 - "디씨인사이드,개인정보 폐기" https://gigglehd.com/gg/bbs/11424832     가입 시 식별 코드(ID)를 선택할 수 없게끔 바뀌었습니다. 계정 복구 시 사용할 수 있는 방법은 보안 코드뿐입니다. 이메일 인증 등 타 수단을 ...
    Date2024.03.31 소식 Bytitle: 컴맹임시닉네임 Reply6 Views1195 file
    Read More
  10. SKT, 3만 원대 요금제와 2만 원대 온라인 전용 등 5G 요금제 개편

    [보도자료] 관련 글 - "[보도자료] SKT, 5G 요금제 선택권 넓히고 고객 통신비 부담 낮춘다" https://gigglehd.com/gg/soft/13954671   * 흔히 "5G"로 불리는 통신 방식인 IMT-2020, New Radio를 이 글에서는 "NR"로 서술하였습니다. 제목...
    Date2024.03.30 소식 Bytitle: 컴맹임시닉네임 Reply19 Views1028 file
    Read More
  11. '레나', IEEE 학술지에서 금지

    IEEE 컴퓨터 학회에서 4월 1일부터 1972년 플레이보이에 오른 사진, 통칭 '레나'가 들어간 논문들을 금지합니다. 그러니까 넣으면 자동 리젝이란 소리죠...   레나 쇠데르베리(미쿡에서 잠시 이 사진을 찍고 스웨덴에서 조용히 살다 학회...
    Date2024.03.30 소식 Bytitle: 폭8책읽는달팽 Reply12 Views2138 file
    Read More
  12. No Image

    MS 코파일럿, 40TOPS의 NPU가 있는 시스템에서 로컬 실행 가능

    MS 코파일럿은 최소 40TOPS의 성능을 내는 NPU가 장착된 시스템에서 로컬 실행이 가능합니다. 혖재 코파일럿은 사용자가 쿼리나 프롬프트를 입력했을 때 클라우드 AI로 보내지만, 나중에는 로컬에 탑재된 NPU를 써서 실행할 수 있게 됩니...
    Date2024.03.30 소식 By낄낄 Reply1 Views666
    Read More
  13. No Image

    압축 라이브러리 xz/liblzma에 백도어가 들어있음

    해커뉴스: https://news.ycombinator.com/item?id=39865810   오픈소스 압축 라이브러리에 주요 메인테이너가 직접 백도어를 심어서 대부분의 배포판에 퍼졌고, 압축 라이브러리다보니 로그 압축이 필요한 systemd에 링크될 수 있는데... ...
    Date2024.03.30 소식 Bytitle: 부장님Neons Reply5 Views2027
    Read More
  14. 투명 png 파일 만드는 법

    *.jpg 파일이 있습니다. 흰 부분을 투명으로 만들고 싶은데... 그림판으로는 당연히 안되는 작업이죠...;;;     이런 파일이라고 예를 들면 저 검은색 부분만 따고 흰 부분은 투명으로 만들어서 어느 이미지 위에 붙여넣기를 해도 저 검은...
    Date2024.03.30 질문 By투명드래곤 Reply10 Views592 file
    Read More
  15. No Image

    역시 클라우드는 국내가 짱인가봐요..

    모 대형 커뮤니티가 터지고, 대체 커뮤니티를 직접 구축한 커뮤니티가 있는데,     그 커뮤니티가 GCP를 사용중에 있는데, 과도한 트래픽이 갑자기 발현되서 DDoS공격으로 간주되, 72시간 안에 소명하라고 하는군요...   근데 이거 하려고...
    Date2024.03.29 일반 By뚜찌`zXie Reply6 Views795
    Read More
목록
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 576 Next
/ 576

최근 코멘트 30개

더함
한미마이크로닉스
AMD
MSI 코리아

공지사항        사이트 약관        개인정보취급방침       신고와 건의


기글하드웨어는 2006년 6월 28일에 개설된 컴퓨터, 하드웨어, 모바일, 스마트폰, 게임, 소프트웨어, 디지털 카메라 관련 뉴스와 정보, 사용기를 공유하는 커뮤니티 사이트입니다.
개인 정보 보호, 개인 및 단체의 권리 침해, 사이트 운영, 관리, 제휴와 광고 관련 문의는 이메일로 보내주세요. 관리자 이메일

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소