XZ Utils 后门仍然潜伏在 Docker 镜像中

Go 开发团队技术 leader Russ Cox (rsc) 发表博客梳理了 XZ 后门事件的详细时间线。 以下是全文翻译： 在两年多的时间里，一位化名“Jia Tan”的攻击者一直作为 xz 压缩库的勤奋、高效的贡献者，最终获得了提交访问权限和维

。 漏洞描述：xz 5.6.0 与 5.6.1 版本的上游代码中发现了后门程序，它通过加入测试用的二进制数据，然后再在编译脚本中从上述数据里提取内容修改编译结果。就目前初步研究显示，生成的代码会挂钩 OpenSSH 的 RSA 加密相关函

用。 漏洞描述：xz 5.6.0与5.6.1版本的上游代码中发现了后门程序，它通过加入测试用的二进制数据，然后再在编译脚本中从上述数据里提取内容修改编译结果。就目前初步研究显示，生成的代码会挂钩OpenSSH的RSA加密相关函数

统的合理起点。报告提出了在“无害”的系统调用中添加后门（当时称为“陷阱门”）的潜在可能性。 当传递一个特定且极不可能的输入时，系统调用允许读取或写入内核内存的任意字。这个微小的变化将完全破坏系统的安全

，这是自去年 XZ 5.6 中由当时的项目共同维护者插入恶意后门以来的第一个值得关注的功能版本。 XZ 5.6.2 于去年 5 月发布，而 XZ 5.8.0 现已稳定，为这个无损数据压缩器项目带来了新功能。 对于为 x86 或 x86_64 架构构建的 li

版基于截至 2022 年 11 月 3 日的 Debian Sid 仓库 Linux 内核镜像升级到 6.0.6-2 添加了更多软件包，其中包括 vim, pv, htop, bmon, nmon, zutils, pigz, xz-utils, zstd, zip, unzip, colordiff, xxd, vbindiff, cifs-utils, smbclient, nmap, xrdp, rdesktop, usbutils, vlan, paral

半职业维护者的比例为 24%，2023 年则为 23%。 虽然在 xz 后门出现之后，组织更加重视软件供应链安全，但维护人员获得报酬的情况仍没有改善。目前，维护者的收入仍主要来自捐赠（25%）、明确包含开源维护内容的公司薪酬（

量捐赠的资金充足的开源项目。还有很多用户量巨大，但仍然用爱发电、收到的捐赠少得可怜的开源项目（点名 Log4j2，全球都在使用的项目，只有四五个维护者，但每个维护者收到的捐赠仅有可怜的几十美金），这些开源项目

ker 不兼容的问题。开发团队表示，优化与 Docker 的兼容性仍然是 Podman 的重点工作，他们将继续努力降低迁移到 Podman 的成本。 详细更新内容查看 Release Note。

奇虎 360 的 Netlab 安全团队一个新的 Linux 平台后门木马，其目标是将机器纳入僵尸网络并充当下载和安装 rootkit 的渠道。该后门被命名为 “B1txor20 ”，因为其文件名为 'b1t'、使用 XOR 加密算法和 20 字节的 RC4 算法密钥长度

研究团队对超 250,000 个 Linux images 进行了分析，以了解在 Docker Hub 上的容器镜像中隐藏了何种恶意负载。结果表明，其中有 1,652 个被识别为恶意镜像。 研究团队根据几个类别收集了恶意镜像。分析主要集中在两个主要类别：恶

生命周期结束。WebStorm 2022.2 将不再积极维护它。AngularJS 仍然可以在其他版本的 WebStorm 和 JetBrains IDE 中使用。 内置的远程开发工作流程 WebStorm 2022.2 在去年引入了对远程开发工作流的支持，如今可以在 Beta 标签下开箱即用。你

均不在维护，所以该版本不再维护 [3] Postgresql Nacos Docker   Dante Cloud 自开源以来一直支持多数据的切换。对于使用 MySQL 的朋友来说，不存在部署多个数据库的问题。但是，对于使用 其它数据库（比如：Postgr

见（归属为组织）。 三、拉取/推送镜像 Docker操作步骤： 登录镜像库 docker login -u {个人唯一标识} -p {访问令牌} docker.jianmuhub.com 构建镜像 docker build -f Dockerfile -t docker.jianmuhub.com/{归属唯一标识