Gregory's Server
Всё самое интересное опять случилось ночью, пока вы спали.
Интернет штормит на 10 из 10 по CVE: скомпрометированы примерно все ssh сервера на debian-like, через подломленный репозиторий xz и библиотечку liblzma.
А как так, спросишь ты? openssh никак не используется liblzma. Но есть нюанс: шапка, федора и прочие дебианы патчат openssh для совместимости c нотификациями systemd и вот такая вот петрушка.
Автор кода, молодец каких поискать надо. Мало того что придумал как скомпрометировать проект через тест (то есть код xz чистый и до компиляции всё чинно-благородно), так говорят что он ещё и известный oss-fuzz отучил детектить своё нововведение.
Для любителей циферок: CVE-2024-3094
CISA говорят alarm - https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
Репозиторий xz выключен наглухо, а каждый второй судорожно проверяет версию xz, ведь если там 5.6.0 и выше, то надо срочно откатываться.