紧急:XZ Utils 库中发现秘密后门,影响主要 Linux 发行版

阅读量42562

发布时间 : 2024-04-01 10:55:09

红帽公司周五发布了“紧急安全警报”,警告称流行的数据压缩库XZ Utils(以前称为 LZMA Utils)的两个版本已被恶意代码植入后门,旨在允许未经授权的远程访问。

软件供应链妥协的编号为CVE-2024-3094,CVSS 评分为 10.0,表明严重程度最高。它影响 XZ Utils 版本 5.6.0(2 月 24 日发布)和 5.6.1(3 月 9 日发布)。

IBM 子公司在一份公告中表示: “通过一系列复杂的混淆,liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件,然后用于修改 liblzma 代码中的特定功能。”

“这会产生一个修改后的 liblzma 库,任何与该库链接的软件都可以使用该库,拦截并修改与该库的数据交互。”

具体来说,代码中包含的恶意代码旨在通过systemd软件套件干扰 SSH(安全 Shell)的 sshd 守护进程,并可能使威胁参与者能够破坏 sshd 身份验证并在“以下情况下”远程获得对系统的未经授权的访问:正确的情况。”

微软安全研究员 Andres Freund 被认为在周五发现并报告了这个问题。据说,经过严重混淆的恶意代码是由一位名叫 Jia Tan (JiaT75) 的用户通过对 GitHub 上Tukaani 项目的一系列四次提交引入的。
Linux 发行版“鉴于活动持续了数周,提交者要么直接参与其中,要么他们的系统受到了一些相当严重的损害,”弗罗因德说。 “不幸的是,考虑到他们在各种列表上就‘修复’进行了沟通,后者看起来不太可能是解释。”

微软旗下的 GitHub 此后禁用了 Tukaani 项目维护的 XZ Utils 存储库,“因为违反了 GitHub 的服务条款”。目前还没有关于在野外进行积极利用的报道。

有证据表明,这些软件包仅存在于 Fedora 41 和 Fedora Rawhide 中,并且不会影响 Red Hat Enterprise Linux (RHEL)、Debian Stable、Amazon Linux以及 SUSE Linux Enterprise 和 Leap。

出于谨慎考虑,建议 Fedora Linux 40 用户降级到 5.4 版本。受供应链攻击影响的其他一些 Linux 发行版如下:

Kali Linux(3 月 26 日至 29 日期间)
openSUSE Tumbleweed 和 openSUSE MicroOS(3 月 7 日至 28 日期间)
Debian 测试、不稳定和实验版本(从 5.5.1alpha-0.1 到 5.6.1-1)
这一进展促使美国网络安全和基础设施安全局(CISA)发布了自己的警报,敦促用户将XZ Utils降级到未受影响的版本(例如,XZ Utils 5.4.6 Stable)。

本文转载自: https://thehackernews.com/2024/03/urgent-secret-backdoor-found-in-xz.html

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66