今天披露的XZ上游发布包包含危及远程SSH访问的恶意代码,这无疑是一个复活节周末的惊喜…随着时间的推移,随着上游项目的破坏,情况看起来更加黯淡,而现在最新的变化是GitHub完全禁用了XZ存储库。
GitHub上的中央存储库tukaani-project/xz现在已被GitHub禁用,消息如下:
“由于违反了GitHub的服务条款,GitHub员工已经禁用了对该存储库的访问。如果你是仓库的所有者,你可以联系GitHub支持以获取更多信息。”
违反ToS可能是由于破坏了上游提交访问。无论如何,考虑到今天大量的新闻(尽管处于禁用状态),这是一个值得注意的步骤,这使得追踪不良行为者(s)对合并请求数据和其他相关信息的访问被阻止的其他潜在问题更改变得更加困难。
由于上游的XZ还没有发布任何修正版本,而且它的一个核心贡献者——以及版本创建者——在过去两年中所做的贡献受到了质疑,因此直接对XZ存储库公共访问进行抨击并非没有理由。在这一点上,在进一步评估之前不能简单地信任它。
Some such as within Fedora discussions have raised the prospects whether XZ should be forked albeit there still is the matter of auditing past commits. Others like Debian have considered pulling back to the latest release prior to the bad actor and then just patching vetted security fixes on top. Meanwhile others have suggested this is good motivation for moving off XZ/liblzma to alternatives such as using Zstd.
