XZ |
您所在的位置:网站首页 › 绿盟安全扫描病毒库续费价格 › XZ |
阅读: 3,035
一、漏洞概述
近日,绿盟科技CERT监测到安全社区披露XZ-Utils工具库存在后门漏洞(CVE-2024-3094),CVSS评分10。由于SSH底层依赖了liblzma,当满足一定条件时,攻击者可利用此漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,从而执行任意系统命令。经排查后发现为xz的tarball上游软件包中感染后门程序,该后门在构建过程中从伪装的测试文件中提取.o文件,然后使用提取的文件修改liblzma中特定的函数,导致生成了一个被修改过的liblzma库,任何链接此库的软件都可能使用它拦截并修改与此库的数据交互。目前漏洞细节已公开,请相关用户尽快采取措施进行排查与防护。 XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的工具库套件,包含liblzma、xz等组件,集成在绝大多数Linux发行版仓库中。
参考链接: https://www.openwall.com/lists/oss-security/2024/03/29/4 https://access.redhat.com/security/cve/cve-2024-3094 二、事件背景 2021年10月,植入后门漏洞的开发者JiaT75开始参与XZ-Utils项目的开发,逐渐取得信任,并于2023年接管了项目维护权限,其在2024年2月向liblzma/xz提交恶意文件,引入了一个允许攻击者未授权访问SSH的隐蔽后门,同时联系Linux发行版维护者,要求将带后门的库打包并分发给最终用户,3月29日开发人员Andres Freund在分析SSH性能故障时,发现了该供应链攻击活动。目前GitHub已经关停了整个XZ-Utils项目。 三、影响范围 受影响版本 XZ Utils = 5.6.0- 6.1注:XZ的Git发行版中未发现恶意代码,仅存在于完整的下载包中。 目前已知受影响的Linux发行版: Fedora Rawhide(开发版本) Fedora 41 MACOS HomeBrew x64 openSUSE Tumbleweed 及 MicroOS(3月7日至3月28日期间发行) Kali Linux (3月26日至3月28日期间发行的xz-utils 5.6.0-0.2) Debian(XZ测试版本5.5.1alpha-0.1 至 5.6.1-1) XZ供应链影响系统查询:https://repology.org/project/xz/version
不受影响版本 XZ Utils |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |