纽约时报科技专栏知名作者凯文•鲁斯日前公布该栏目年度优秀科技奖,该科技奖获奖者有好几位,其中包括微软数据库工程师安德烈•弗洛因德(AndresFreund)。安德•烈弗洛因德获奖的原因是他发现了XZUtils的后门漏洞,这个开源库被整个科技业界广泛使用,而这个漏洞则可能会在全球范围内造成严重的安全影响。
由于这个开源库也被广泛集成到Linux系统里,攻击者借助漏洞可以对全球无数台Linux服务器发起攻击(可以绕过SSH身份验证而直接控制服务器),而且整个XZ项目的投毒过程也非常引人思考。
XZ项目只有主要维护者1人在进行维护,随后名为JIATAN的开发者在两年里经常参与该项目并获得主要维护者的信任,JIATAN的最终目的就是成为该项目的维护者从而植入后门。
最终JIATAN的目的也算是成功了,XZ5.6.0~5.6.1被植入漏洞并合并到多个Linux发行版中,得亏安德烈弗洛因德及时发现了问题才避免造成全球级别的安全事件。
目前业界还未发现JIATAN的真实身份,但推测他生活在东欧并且试图冒充中国人进行供应链投毒,不知道未来是否有机会找到这个人的真实身份。
凯文•布鲁在评奖中表示:
他在对一个鲜为人知的开源软件包XZUtils进行例行维护时遇到了一些奇怪的错误,在调查中他无意中发现了Linux操作系统中一个巨大的安全漏洞,这可能会让黑客控制数亿台计算机并让世界陷入瘫痪。
事实证明我们的许多数字基础设施都依赖类似的书呆子英雄行为(蓝点网注:原文如此),在写完Freund的发现后,我收到了有关其他涉及开源软件项目的灾难提示,其中许多都是因为目光敏锐的志愿者及时发现错误并修复关键代码挫败坏人的行动。
我无法一一写出他们,但这个奖项就是要说:我看到了你们,开源维护者,我感谢你们的服务。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】