黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版-tomcb

https://t.me/c/1549025298/24179

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版，但在影响有限，可防可控

本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。程序在 5.6.0 和 5.6.1 版本中引入了恶意代码。这些恶意代码旨在允许未经授权的访问，而且这些受影响的版本已经被多个 Linux 发行版合并，但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题，编号为 CVE-2024-3094 (https://nvd.nist.gov/vuln/detail/CVE-2024-3094) ，严重性评分为 10/10 。

xz 是被 Linux 发行版广泛使用的压缩格式之一， xz-utils (LZMA-utils)是一个开源项目，2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码，然后逐步接手该项目成为项目的主要贡献者，也是该项目当前唯一的活跃贡献者。恶意代码经过混淆，只能在完整的下载包中找到，而无法在 Git 发行版中找到，因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ，使攻击者可以使用精心构造的数据跳过 RSA 密钥检验，在未授权情况下授予攻击者不受限制的访问权限。

目前看这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本，且均已发布回退更新。

https://t.me/network00000/1450

用 ArchLinux / macOS / 追新系统版本 的可能需要关注下

有一个 Linux 系统级别的漏洞已公布，该漏洞可让攻击者无需通过 SSH 验证即可登录服务器执行任意代码

Debian/Ubuntu的检查命令:
apt list --installed 2>&1 | grep xz | grep -E '5.6.0|5.6.1' && echo "Check your system now" || echo "Everything is ok"

macOS 的检查命令:
brew info xz | grep xz | grep -E '5.6.0|5.6.1' && echo 'Check your system now' || echo 'Everything is ok'

* 显示 Everything is ok 即不受影响

如何修复:
降级 xz-utils 即可

macOS 修复:
brew install xz

相关链接:
https://avd.aliyun.com/detail?id=AVD-2024-3094 (中文)
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://www.helpnetsecurity.com/2024/03/29/cve-2024-3094-linux-backdoor/

热议
推荐楼 McDonalds 昨天16:48

真的是牛啊 接手开发了两年项目成为第一贡献者 然后下后门

推荐楼 caddy

这不明显是中国人

推荐楼 wps 昨天16:54

这时候debian老包的优势就出来了，稳定经历时间考验，vps上的xz还是5.2.5

2楼 hcyme 昨天16:47

预发布版本，不知道怎么回事

4楼 nut 昨天16:49

apt list installed|grep liblzma5

IDC.WIKIRackNerd高性价比小鸡：1c1g14g2T$11.38/year（推荐）搬瓦吧 CC哥HOSTHATCH1c1g20g 20T

6楼 cici9911 昨天20:35

这世界线已经走到这一步了吗. 你马勒戈壁的这种人应该fbi全球通缉

7楼 acpp 昨天20:42

这时候debian老包的优势就出来了，稳定经历时间考验，vps上的xz还是5.2.5

所以没事别乱升级也是有好处

8楼 hcyme 昨天20:44

只有三台ubu，刚刚看了一眼也没什么事，其余debian就省心了

10楼 YorkZhao 昨天20:56

所以没事别乱升级也是有好处

我尊贵的Debian12还不是一点影响都没有

12楼 BackDoor 昨天22:43

所以建议不要随便尝新，还是使用稳定release版本。

13楼 ban 昨天22:44

我这是咋回事？
mbp 13.5.1

14楼 法外狂徒张三 6小时前

5.4.1

15楼 Ikex 6小时前

这不明显是中国人

git 历史有次全名 Jia Cheong Tan

16楼 dole 6小时前

开始暗杀mJJ了吗

17楼 打听哥 2小时前

git 历史有次全名 Jia Cheong Tan

台巴子

18楼 tinyfish 1小时前

连我termux都影响了，然后包被回滚了

~ $ apt list xz-utils
Listing... Done
xz-utils/stable,now 5.6.1+really5.4.5 aarch64 [installed]~ $ xz --version
xz (XZ Utils) 5.4.5
liblzma 5.4.5
~ $

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。