近日,綠盟科技CERT監(jiān)測(cè)到安全社區(qū)披露XZ-Utils存在后門漏洞(CVE-2024-3094),CVSS評(píng)分10。由于SSH底層依賴了liblzma,攻擊者可能利用這一漏洞在受影響的系統(tǒng)上繞過(guò)SSH的認(rèn)證獲得未授權(quán)訪問(wèn)權(quán)限,從而執(zhí)行任意代碼。經(jīng)排查后發(fā)現(xiàn)為xz的tarball上游軟件包中感染后門程序,該后門在構(gòu)建過(guò)程中從偽裝的測(cè)試文件中提取.o文件,然后使用提取的文件修改liblzma中特定的函數(shù),導(dǎo)致生成了一個(gè)被修改過(guò)的liblzma庫(kù),任何鏈接此庫(kù)的軟件都可能使用它攔截并修改與此庫(kù)的數(shù)據(jù)交互。該后門程序存在于完整的下載包中,請(qǐng)相關(guān)用戶盡快采取措施進(jìn)行防護(hù)。
XZ-Utils是Linux、Unix等POSIX兼容系統(tǒng)中廣泛用于處理.xz文件的套件,包含liblzma、xz等組件,已集成在debian、ubuntu、centos等發(fā)行版?zhèn)}庫(kù)中。
【影響范圍】
XZ Utils = 5.6.0-5.6.1
注:XZ的Git發(fā)行版中暫未發(fā)現(xiàn)惡意代碼,僅存在于完整的下載包中。
目前已知受影響的Linux發(fā)行版:
Fedora Rawhide(開(kāi)發(fā)版本)
Fedora 41
MACOS HomeBrew x64
openSUSE Tumbleweed 及 MicroOS(3月7日至3月28日期間發(fā)行)
Kali Linux (3月26日至3月28日期間發(fā)行的xz-utils 5.6.0-0.2)
Debian 5.5.1alpha-0.1 至 5.6.1-1(非穩(wěn)定的xz測(cè)試版本)
【不受影響版本】
XZ Utils < 5.6.0
注:因植入后門的開(kāi)發(fā)者于2021年開(kāi)始參與維護(hù),安全起見(jiàn)建議用戶將XZ-Utils降級(jí)至5.4或之前版本。
CentOS/Redhat/Ubuntu/Debian/Fedora等Linux發(fā)行版不受影響。
【漏洞防護(hù)】
目前官方暫未針對(duì)此后門漏洞發(fā)布公告和安全更新,相關(guān)用戶可將xz-utils降級(jí)至5.6.0之前版本或在應(yīng)用中替換為7zip等組件。