Apr 18 2024 50 mins 15
(収録日: 2024/04/14)
# 感想はSNSでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- XZ Utilsに脆弱性が埋め込まれた話
- OSSエコシステムの課題と、それに対する立法的アプローチ、技術的アプローチ等の話
# 参照
## 経緯
- https://research.swtch.com/xz-timeline
- https://www.mail-archive.com/[email protected]/msg00567.html
- https://techcrunch.com/2024/04/02/open-source-foundations-unite-on-common-standards-for-eus-cybersecurity-resilience-act/
## CVEそのもの
- SIOS: https://security.sios.jp/vulnerability/xz-security-vulnerability-20240330/
- Sysdig: https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/?utm_campaign=Oktopost-2024+Blogs+and+Articles&utm_content=Oktopost-twitter&utm_medium=twitter&utm_source=organic-social&utm_term=Blog%2CThreat+Research%2CVulnerability
- Ossf: https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/
- CISA: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
## 関連PR
- https://github.com/libarchive/libarchive/pull/1609
- https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504
- https://web.archive.org/web/20240329180818/https://github.com/tukaani-project/xz/pull/86
#積ん読
- なし
# 参加者: 中谷さん、ken5scal
