#xzutils — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #xzutils, aggregated by home.social.
-
#XZ Utils 5.8.3: Sicherheitsupdate mit unklarem Risiko | Security https://www.heise.de/news/XZ-Utils-5-8-3-Sicherheitsupdate-mit-unklarem-Risiko-11244419.html #XZutils #Patchday #Linux :tux: #OpenSource
-
XZ Utils 5.8.3 patches security flaws; severity is disputed — developers call the exploit unlikely, while Tenable & CERT‑Bund rate it critical (CVE‑2026‑34743). Admins should check for updates or build from source. 🔒⚠️🛠️ #infosec #Linux #XZUtils https://www.heise.de/en/news/XZ-Utils-5-8-3-Security-update-with-unclear-risk-11244670.html
-
NetRise Provenance wants to track who writes your open source code after XZ backdoor scare
https://fed.brid.gy/r/https://nerds.xyz/2026/03/netrise-provenance-open-source-risk/
-
Endlich mal wieder Lust auf Podcast.
Heute eine interessante Folge aus dem letzten Jahr über Menschen, die Open Source entwickeln. Mit Schwerpunkt auf log4j, aber eigentlich geht es vor allem um die Last auf Menschen, die als Hobby weit verbreitete Projekte pflegen und dabei weit seltener mit Dank als vielmehr mit Verantwortung und Ansprüchen konfrontiert sind.
https://www.br.de/mediathek/podcast/wild-wild-web/das-wichtigste-hobby-der-welt/2108090
-
RE: https://en.osm.town/@seav/112217310004579603
#Veritasium recently published a very comprehensive and educational video about the XZ Utils backdoor incident two years ago: https://youtu.be/aoag03mSuXQ
More info about the backdoor: https://en.wikipedia.org/wiki/XZ_Utils_backdoor
The toot that exposed the backdoor to the world: https://mastodon.social/@AndresFreundTec/112180083704606941
-
RE: https://en.osm.town/@seav/112217310004579603
#Veritasium recently published a very comprehensive and educational video about the XZ Utils backdoor incident two years ago: https://youtu.be/aoag03mSuXQ
More info about the backdoor: https://en.wikipedia.org/wiki/XZ_Utils_backdoor
The toot that exposed the backdoor to the world: https://mastodon.social/@AndresFreundTec/112180083704606941
-
RE: https://en.osm.town/@seav/112217310004579603
#Veritasium recently published a very comprehensive and educational video about the XZ Utils backdoor incident two years ago: https://youtu.be/aoag03mSuXQ
More info about the backdoor: https://en.wikipedia.org/wiki/XZ_Utils_backdoor
The toot that exposed the backdoor to the world: https://mastodon.social/@AndresFreundTec/112180083704606941
-
RE: https://en.osm.town/@seav/112217310004579603
#Veritasium recently published a very comprehensive and educational video about the XZ Utils backdoor incident two years ago: https://youtu.be/aoag03mSuXQ
More info about the backdoor: https://en.wikipedia.org/wiki/XZ_Utils_backdoor
The toot that exposed the backdoor to the world: https://mastodon.social/@AndresFreundTec/112180083704606941
-
RE: https://en.osm.town/@seav/112217310004579603
#Veritasium recently published a very comprehensive and educational video about the XZ Utils backdoor incident two years ago: https://youtu.be/aoag03mSuXQ
More info about the backdoor: https://en.wikipedia.org/wiki/XZ_Utils_backdoor
The toot that exposed the backdoor to the world: https://mastodon.social/@AndresFreundTec/112180083704606941
-
[Перевод] Можно ли было обнаружить бэкдор XZ при более продуманной работе с пакетами в Git и Debian?
Обнаружение бэкдора в XZ Utils весной 2024 года поразило опенсорс-сообщество и подняло серьёзные вопросы о безопасности цепочки поставок ПО. В этом посте мы изучим, могло ли улучшение практик работы с пакетами Debian помочь в выявлении этой угрозы, приведём руководство по аудиту пакетов и предложим улучшения на будущее. Бэкдор XZ в версиях 5.6.0/5.6.1 быстро попал во многие крупные дистрибутивы Linux наподобие Debian и Fedora, но, к счастью, не добрался до многих реальных пользователей, потому что благодаря героическому усердию Андреса Фройнда релизы с бэкдором были быстро удалены. Нам крайне повезло, что мы выявили регрессию производительности SSH в полсекунды, уделили время её трассировке, обнаружили зловредный код в загружаемой SSH библиотеке XZ и быстро сообщили о нём различным командам безопасников для принятия быстрых координированных мер защиты. Этот эпизод заставил разработчиков ПО задаться следующими вопросами: • Почему ни один из упаковщиков дистрибутивов Linux не заметил ничего странного при импорте новой версии XZ 5.6.0/5.6.1 из апстрима? • Легко ли проводить аудит современной цепочки поставок в самых популярных дистрибутивах Linux? • Возможно ли наличие других подобных бэкдоров, которые мы пока не выявили? Я разработчик Debian Developer, поэтому решил провести аудит пакета xz в Debian, поделиться в этом посте своей методологией и находками, а также предложить способы повышения безопасности цепочки поставок конкретно в Debian. Стоит отметить, что мы ограничимся только изучением способа импорта ПО дистрибутивом Debian из его апстрима, а также его распространения среди пользователей Debian. При этом мы никак не затронем тему оценки соответствия проекта апстрима best practices по безопасности разработки ПО. В этом посте мы не будем и говорить о том, какие меры следует предпринять на компьютере с Debian, чтобы гарантировать его защиту, потому что таких руководств и так уже много.
-
https://liblzma.so/ I made a thing. impulse control is for suckers
-
Weekend Reads
* Phrack #72
https://phrack.org/issues/72/1
* DNS at IETF 123
https://www.potaroo.net/ispcol/2025-08/dns_ietf123.html
* History of Hawaii subsea cables
https://www.sciencedirect.com/science/article/pii/S0308597X2500260X?via%3Dihub
* China GFW disrupted TCP 443 traffic
https://gfw.report/blog/gfw_unconditional_rst_20250820/en/
* Analyzing JiaT75 xz-utils contributions
https://arxiv.org/abs/2508.13453 -
🚨 Breaking news! A year later, the #cybersecurity world is *still* grappling with the XZ Utils backdoor—because why fix something when you can just write another article about it? 🤷♂️ It seems easier to publish more *groundbreaking reports* than to actually secure Docker images. 📦🔒
https://www.binarly.io/blog/persistent-risk-xz-utils-backdoor-still-lurking-in-docker-images #XZUtils #DockerImages #backdoor #securityreports #technews #HackerNews #ngated -
XZ Utils Backdoor Still Lurking in Docker Images
https://www.binarly.io/blog/persistent-risk-xz-utils-backdoor-still-lurking-in-docker-images
#HackerNews #XZUtils #Backdoor #DockerImages #Cybersecurity #SoftwareSecurity #PersistentRisk
-
#DockerHub: Gefährliche #Backdoor in älteren #Linux-Images entdeckt
-
#XZUtils 5.8.1 (stable) has been released (#xz / #LZMAUtils / #LZMA / #LZMA2 / #DataCompression) https://tukaani.org/xz/
-
TT: "I read XZ-Utils and immediately felt a sense of unease..."
#XZutils: Malicious code vulnerability in decompressor | Security https://www.heise.de/news/XZ-Utils-Schwach…stelle-ermoeglicht-vermutlich-Codeschmuggel-10343043.html #Patchday
-
XZ-Utils gelesen und gleich innerlich Unruhe gespürt ...
#XZutils: Schadcode-Lücke in Dekompressor | Security https://www.heise.de/news/XZ-Utils-Schwachstelle-ermoeglicht-vermutlich-Codeschmuggel-10343043.html #Patchday
-
#XZUtils 5.8.0 (stable) has been released (#xz / #LZMAUtils / #LZMA / #LZMA2 / #DataCompression) https://tukaani.org/xz/
-
@andreasdotorg @redknight
Reasonably secure against US law enforcement forcing a company to surrender data from their servers? Or reasonably secure against a security service MitM-ing your traffic via a forged TLS-certificate? Or reasonably secure against a security service buying a few 0-days and targetting your admin via that? Or reasonably secure against a security service compromising some library in your software supply chain (as in #ssh, #xzutils )?There are so many attack vectors for someone with skills and resources...
-
#XZUtils 5.7.1 Alpha (dev) has been released (#xz / #LZMAUtils / #LZMA / #LZMA2 / #DataCompression) https://tukaani.org/xz/
-
#XZUtils 5.6.4 (stable) has been released (#xz / #LZMAUtils / #LZMA / #LZMA2 / #DataCompression) https://tukaani.org/xz/
-
Lasse Collin (the developer of xz-utils) has found out how to accept donations without breaking the Finnish money collection law:
https://github.com/tukaani-project/xz/issues/105#issuecomment-2599004098He has created an account on #LiberaPay with a restriction to not accept donations from Finns or people living in Finland:
https://liberapay.com/Larhzu/ -
Come see this guy…
If you’re going to SecTor, check out my keynote at 9:00am today (10/24) at the Metro Toronto Convention Center:
The XZ-Utils Backdoor: A Case Study in Software Supply Chain Security and Social Engineering
If you can’t make it, I will post materials in a few weeks, stay tuned.
See you at SecTor - and if I miss ya, drop me a DM!
PS Looks like there's breakfast and lunch too...
-
#XZUtils 5.6.3 (stable) has been released (#xz / #LZMAUtils / #LZMA / #LZMA2 / #DataCompression) https://tukaani.org/xz/
-
Simplicissimus ist immer ein Shout-out wert: https://www.youtube.com/watch?v=8p8PHeGg--U #xz #xzutils
-
Half of my machines run #Linux, so I don't get stuck when #Crowdstrike hits. But the other half runs Windows waiting for next #xzutils.
-
W kolejnym wpisie z cyklu Porady Admina zajmiemy się narzędziem xz-utils https://linuxiarze.pl/porady-admina-xz-utils/ #linux #porady #admin #xzutils
-
#XZUtils 5.6.2 (stable) has been released (#xz / #LZMAUtils / #LZMA / #LZMA2 / #DataCompression / #CVE / #CVE20243094) https://tukaani.org/xz/
-
#XZUtils 5.4.7 (old stable) has been released (#xz / #LZMAUtils / #LZMA / #LZMA2 / #DataCompression) https://tukaani.org/xz/
