Table of Contents
背景
Linux 社区突然爆出了一件大事, xz-utils (以前被称为 LZMA Utils) 项目被爆植入后门。xz 是被 Linux 发行版广泛使用的压缩格式之一,XZ 格式压缩实用程序 xz-utils 有助于将大文件格式压缩(然后解压缩)为更小、更易于管理的大小,以便通过文件传输进行共享。
这个代码的提交人2021年注册了 GitHub 账号,之后积极参与 xz 项目的维护,暂时不能确定之前的版本有没有问题,目前github及相关信息已经被封禁。
旧于5.6.1-2版本的xz软件包(即 5.6.0-1 和 5.6.1-1)均包含该后门。
以下发布内容(release artifacts)也包含了受影响的 xz 版本:
安装镜像:2024.03.01 版
虚拟机镜像:20240301.218094 和 20240315.221711 版
容器镜像:2024-02-24 到 2024-03-28 之间(包括这两个日期)构建的版本
该项目被发现的后门允许SSH未经授权访问,通过sshd pubkey登录后门,最严重的是受影响xz版本已经被多个 Linux 发行版合并。已确认的是使用过上述版本xz并且启用sshd服务的服务器均有可能受到影响,包Fedora Linux 40/41 等操作系统已经确认受到该问题影响。
问题溯源
微软软件工程师安德烈斯・弗罗因德(Andres Freund)在一台 Linux 盒子上调查 Debian Sid(Debian 发行版的滚动开发版本) SSH 登录缓慢问题时,发现了这个安全问题。原文可参考:https://twitter.com/wdormann/status/1773831167269015641
目前迹象表明后门作者有选择地针对 linux 发行版下手。但这个 liblzma 可不在只 Linux 上用。比如目前流行的 iOS 越狱环境,大部分 tweak 包还是以 .deb 格式发行,比较新的版本就用到了 lzma 作为压缩。除此之外近期有在 macOS 上使用 brew 安装过 xz 这个包应该也受影响,暂时不能证明有恶意行为。
Red Hat 现正跟踪这一供应链安全问题,将其命名为 CVE-2024-3094,并将其严重性评分定为 10/10,同时在 Fedora 40 测试版中恢复使用 5.4.x 版本的 XZ。
Red Hat 现正跟踪这一供应链安全问题,将其命名为 CVE-2024-3094,并将其严重性评分定为 10/10,同时在 Fedora 40 测试版中恢复使用 5.4.x 版本的 XZ。
修补措施
打开你的Linux系统的终端,查看XZ版本:在终端中输入以下命令来查看当前安装的XZ版本:
xz --version
将显示XZ的版本信息,例如xz 5.6.0,如果中招立刻升级到发行版提供的修复版本,在此之前请勿运行 xz。
评论(0)