XZ UtilsのSWサプライチェーンとOSSエコシステムの話
Secure Liaison
Japanese - April 18, 2024 23:00 - 50 minutes - 25.5 MBTechnology Homepage Download Google Podcasts Overcast Castro Pocket Casts RSS feed
(収録日: 2024/04/14)
# 感想はSNSでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
XZ Utilsに脆弱性が埋め込まれた話
OSSエコシステムの課題と、それに対する立法的アプローチ、技術的アプローチ等の話
# 参照
## 経緯
https://research.swtch.com/xz-timeline
https://www.mail-archive.com/[email protected]/msg00567.html
https://techcrunch.com/2024/04/02/open-source-foundations-unite-on-common-standards-for-eus-cybersecurity-resilience-act/
## CVEそのもの
SIOS: https://security.sios.jp/vulnerability/xz-security-vulnerability-20240330/
Sysdig: https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/?utm_campaign=Oktopost-2024+Blogs+and+Articles&utm_content=Oktopost-twitter&utm_medium=twitter&utm_source=organic-social&utm_term=Blog%2CThreat+Research%2CVulnerability
Ossf: https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/
CISA: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
## 関連PR
https://github.com/libarchive/libarchive/pull/1609
https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504
https://web.archive.org/web/20240329180818/https://github.com/tukaani-project/xz/pull/86
#積ん読
なし
# 参加者: 中谷さん、ken5scal