xz utils后门仍在docker镜像中传播 -凯发娱乐登录

网络安全公司binarly近期发现，去年3月曝光的xz utils开源软件供应链攻击事件余波未平。docker hub上至少12个基于debian的官方镜像及其衍生的二级镜像，总计超35个）仍包含该恶意代码。该后门能劫持ssh服务器的关键加密功能。主流linux发行版虽已发布修复包，但旧版受感染镜像在docker hub上持续存在。部分镜像仍被标记为“最新”，存在被主动使用的风险。更严重的是，这些受感染的基础镜像被用于构建新镜像，导致恶意代码通过“二阶”甚至更远路径持续扩散。