今天刷到一个信安漏洞新闻 https://mp.weixin.qq.com/s/Cv1Vm45E1qsxnqgJWBqL1w
看得我出了一身冷汗,赶紧连夜爬起来看看我的服务器。
如文章所述,这个漏洞对使用稳定版的Ubuntu影响不大,因为其最新的Ubuntu22也才收录5.2.4或者5.2.5,我查询了我的所有在公网的服务器都是如此,所以我的公网服务器都没有受到影响。
但好玩的是,我发现termux的软件包源则受到了影响。
我在apt日志里发现,在最早3月10日的时候,我的xz-utils被从5.4.6更新到了5.6.1,然后一直存在在刚才(4月3号)我再次更新软件包的时候,它才被替换成5.6.1+really5.4.5(被修复)。
然后有意思的是,我上一次的软件包更新是在3月30号,这一次更仍没有xz-utils的任何变化。所以可以推断,至少在3月30号,apt的软件源依然还没修复这个漏洞……
这个故事告诉我们,社会工程学真是一门低效的科学啊……
因为这家伙潜伏了三年才得以添加后门代码。然而后门才存活不到两个月,甚至在我服务器上才存在大半个月,就被修复了……
