一个没有常识、活在自己世界中的中二病人(话痨)的自留地。
该频道不专注于 Daily 或 News,而是一个记录我当前关注和思考内容的地方。
1. 随机事项:每月为自己安排一些有趣的活动。(大概率🐦🤣)
2. 同步内容:我会收集在其他平台上发布的内容。
3. 私人笔记:没经大脑的学习笔记以及一些个人随想。
4. ACG 内容:浓度高的部份还是挪到 另外一个频道 @tomoko_acg。
5. 内容转发:在这个频道上转发的内容并不必然代表我个人的立场。
该频道不专注于 Daily 或 News,而是一个记录我当前关注和思考内容的地方。
1. 随机事项:每月为自己安排一些有趣的活动。(大概率🐦🤣)
2. 同步内容:我会收集在其他平台上发布的内容。
3. 私人笔记:没经大脑的学习笔记以及一些个人随想。
4. ACG 内容:浓度高的部份还是挪到 另外一个频道 @tomoko_acg。
5. 内容转发:在这个频道上转发的内容并不必然代表我个人的立场。
TLDR:
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本(注1)中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd(注2),使得攻击者可以构造特定请求,绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。
另外从一些细节能看出来攻击者非常用心:
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。
注1:仓库中的构建脚本没有问题,但是随新版本发布的源代码打包(tarball)中的构建脚本中添加了对后门的利用。这导致直接使用源代码包的用户构建了带有后门的程序。
注2:据其他来源,受影响的 sshd 是 Debian 和 Ubuntu 等系统经过修改后支持 systemd notification 的版本。xz 是 systemd 的依赖,不是 sshd 的直接依赖。
https://x.com/Blankwonder/status/1773921956615877110?s=20
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本(注1)中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd(注2),使得攻击者可以构造特定请求,绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。
另外从一些细节能看出来攻击者非常用心:
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。
注1:仓库中的构建脚本没有问题,但是随新版本发布的源代码打包(tarball)中的构建脚本中添加了对后门的利用。这导致直接使用源代码包的用户构建了带有后门的程序。
注2:据其他来源,受影响的 sshd 是 Debian 和 Ubuntu 等系统经过修改后支持 systemd notification 的版本。xz 是 systemd 的依赖,不是 sshd 的直接依赖。
https://x.com/Blankwonder/status/1773921956615877110?s=20
🔖 Steam 客服 :: Steam 家庭用户指南及常见问题解答 #pinboard #steam
来组建赛博家庭了
https://help.steampowered.com/zh-cn/faqs/view/054C-3167-DD7F-49D4
来组建赛博家庭了
https://help.steampowered.com/zh-cn/faqs/view/054C-3167-DD7F-49D4
Steampowered
Steam 客服 :: Steam 家庭用户指南及常见问题解答
🔖 Canva has acquired Affinity in an effort to compete with Adobe | Hacker News #pinboard #hacker_news #design
好典,我还没用过几次呢
"no changes ... at this time"
", but there are going to be .....
https://news.ycombinator.com/item?id=39824191
Canva’s business model is subscription, are there any plans to change how Affinity is sold?
There are no changes to our current pricing model planned at this time, with all our apps still available as a one-off purchase. Existing Affinity users will be able to continue to use your apps in perpetuity as they were originally purchased – with plenty of free updates to V2 still to look forward to!
好典,我还没用过几次呢
"no changes ... at this time"
", but there are going to be .....
https://news.ycombinator.com/item?id=39824191
评分: ★★★★★
标签: 日本 动画 Anime
备注: 少有的在原作(漫画)倒背如流的情况下,还能让我持续一集不拉地追半年的动画。
我给一个 24 年的年度动画应该没异议吧。(23 年是我内定的《天国大大魔镜》)
期待下一季的黄金乡篇。掐指一算,或者还能出完女神之碑篇?
🔖 我对盗版的态度 - 少数派 #pinboard
https://sspai.com/post/86462
试想一下一本电子书被发布到了书城上,没有做任何保护,会发生什么?当然是盗版满天飞啦!所以出现了数字版权管理系统(DRM)。 看起来非常完美!那么,代价是什么?让我们来看看这些看起来非常脑残的系统设计:
https://sspai.com/post/86462
🔖 重新理解 Heptabase | 槿呈Goidea #pinboard #knowledge
本来想着去找思维导图方面的工具的,现在看来,我或许应该试试 Heptabase
https://justgoidea.com/posts/2024-009/
Heptabase 是一个以卡片、白板和标签为基础,帮助我以中观视角对复杂问题建立深度理解的可视化笔记工具。
本来想着去找思维导图方面的工具的,现在看来,我或许应该试试 Heptabase
https://justgoidea.com/posts/2024-009/
Justgoidea
重新理解 Heptabase | 槿呈Goidea
Heptabase 是一个以卡片、白板和标签为基础,帮助我以中观视角对复杂问题建立深度理解的可视化笔记工具。本文通过重新梳理对 Heptabase 的认知,详细分析了其作为笔记工具的四个特征、功能性以及如何利用 Heptabase 建立深度理解。通过多层次认知结构和中观视角,Heptabase 不仅帮助用户积累和内化知识,还促进了智慧的形成和动态的学习过程。
🔖 人 X 社区 X 物 - 2024-03-26 - niracler #pinboard #xlog #life #software #hardware #community #people #tools
看上去更新得差不多,有八九成了
https://niracler.com/plrom
看上去更新得差不多,有八九成了
https://niracler.com/plrom
Niracler
人 X 社区 X 物 - 2025-09-22
关于我关注的人和物。这个主题很个人化,我喜欢的内容,别人或许会觉得不适合。毕竟这与我的阅历和经验密切相关。不过,我希望能列出一些我认为不错的东西,给你一些启发。
一不小心变成 ACG 频道了,要克制一下~~
