#VectraAI ブログ 📖 「サプライチェーンの侵害から保護する方法:XZ Utilsバックドアからのポイント」XZ Utils バックドアの脆弱性の詳細と、組織の危険度を確認する方法についてご紹介しています。 bit.ly/4bBcff2

#ubuntujp XZ-utils バックドア問題について知っている猛者の顔だ...

HISYS Security Journal Vol.61が公開となりました。 shield.ne.jp/ssrc/document/… ・佐藤 勝彦氏（a.k.a. goroh_kun）インタビュー ・HISYS CSI Watch「XZ Utilsの開発に悪意を持って入り込んだ人物とバックドアを仕込んだ経緯」 ・Let's Try 脆弱性検証 + 緩和策適用！ 2．緩和策設定編 pic.twitter.com/k734x3Loy1

返信先:@takanasu05懐かしいー そういや OSに仕込まれるなんて どんだけ一人に依存してんだ と当時は企業もヤバい未来予想だなー とか思っていたな 現実には つい最近もXZ Utilsの件もあったし いやーあり得る未来として 追いついてきちゃったな

件の脆弱性を解消したバージョンがリリースされた Release XZ Utils 5.6.2 (stable) · tukaani-project/xz github.com/tukaani-projec…

バックドアが埋め込まれていたことが判明して、大騒ぎになっていたXZですが、バックドアを取り除いた版がリリースされたようです。顛末は下記でまとめてくださっています。 / "New, clean XZ Utils releases were made on 2024-05-29. The home page is available again too." tukaani.org/xz-backdoor/

軍事機密・特定機密は開示されないですし。 プログラムにしても、個人情報や金融情報等を保護するセキュリティ部分についてOSSを採用する方が安全であるという主張は、XZ Utils等の件で完全に崩れていると思う。

TZX拡張子の添付ファイルが付いた悪性スパムについて。TZXはXZ utilsで圧縮されたTarファイルの拡張子。観測されたファイルの中身は実際にはRARファイル。TXZとRDRは双方とも昨年よりWindows 11が対応しており、拡張子と中身が違っていてもエクスプローラから普通に開ける。 isc.sans.edu/diary/0

どうやって、アーカイバー(名称:XZ Utils)のリポジトリ(ソフト開発の取りまとめシステム)に、インストール先マシンに #バックドア(侵入口)を設営させる"テスト用ファイル"を忍び込ませた？ #オープンソフト #マルウェア #Linux ベータ版で発見 xtech.nikkei.com/atcl/nxt/colum…

OSSメンテナに嫌がらせメールを送ることがxz-utilsの事案のような攻撃ベクターになっているという話 / “LDAPjs Open Source Project Decommissioned After Maintainer Receives Abusive Email - Socket” htn.to/2RsKrJne9u

XZ Utilsにバックドアを仕込んだ謎の人物「Jia Tan」の正体とは？ 専門家たちの推理 | WIRED.jp wired.jp/article/jia-ta…

返信先:@rui314「XZ Utils」だけが破壊工作の標的ではない可能性--オープンソース財団 - ZDNET Japan japan.zdnet.com/article/352178… @zdnet_japanから 需要があるけど儲からないから誰もやりたがらない事はこういった悪意の格好の標的にもなりそう。低待遇で人材不足の保育士業界なら小児性愛者の性犯罪者が喜ぶように。

XZ Utilsのバックドアの件は怖いな。ソーシャルエンジニアリングとも言うべきか。

“XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり？” htn.to/2JuEBdV6wZ

承前：XZ Utilsの件もあるしねぇ。政治的な支配下に有るか無いかって、わからんよな。でも、ロシア人が開発に参加している、って雑なくくりだと、影響範囲が想定外に大きいんじゃないか？ｗ

XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり？：Cybersecurity Dive - ITmedia エンタープライズ itmedia.co.jp/enterprise/art…

有名ソフトにバックドア、防止不可能「ソフトウエアサプライチェーン攻撃」の脅威 xtech.nikkei.com/atcl/nxt/colum… 有名なOSSの圧縮ソフト「XZ Utils」にマルウエアの一種である「バックドア」が仕込まれ、IT業界に衝撃が走った。攻撃者はどうやってバックドアを仕込んだのか？ 攻撃の詳細と対策を解説。

xz-utils_v5.6.0,v5.6.1にバックドア が仕掛けられてるとはつゆ知らず4/22にTestingに移行 現在中身は影響ないバージョンに差し替えてくれてあるみたいで一安心、だけどかなり深刻だなこれ… gist.github.com/thesamesam/223…

有名ソフトにバックドア、防止不可能「ソフトウエアサプライチェーン攻撃」の脅威 xtech.nikkei.com/atcl/nxt/colum… 話題になった XZ Utils についての話。

XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり？：Cybersecurity Dive - ITmedia エンタープライズ itmedia.co.jp/enterprise/art…

有名ソフトにバックドア、防止不可能「ソフトウエアサプライチェーン攻撃」の脅威: 有名なOSSの圧縮ソフト「XZ Utils」にマルウエアの一種である「バックドア」が仕込まれ、IT業界に衝撃が走りました。正規ソフトにマルウエアが仕込まれる攻撃は「ソフトウエア… xtech.nikkei.com/atcl/nxt/colum…

来週月曜日サイバートラストの会議室でOpenSSF OSSセキュリティMeetupが開催されるよ。 OpenSSFゼネラルマネージャーOmkharさんの話や、先日開催されたSOSS Community Day NA イベントレポートがあるよ！☆ζ(｡☌ᴗ☌｡)ζ xz-utils事件などOSSセキュリティーは重要になってきてるね。 #SOSS #OpenSSF

［ITmedia エンタープライズ］Cybersecurity Dive：XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり？ itmedia.co.jp/enterprise/art…

XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり？ itmedia.co.jp/enterprise/art…

XZ Utilsの事件の重大性を改めて実感したが、オープンソースコミュニティにおいて外側の防御のみならずインサイダーリスクの認識やソースコードレビュー等の内側の防御も考慮しなければならないのはかなりキツいな.. Overcoming Insider Threats in Open Source Environments linuxsecurity.com/news/security-…