近日,，綠盟科技CERT監(jiān)測(cè)到安全社區(qū)披露XZ-Utils存在后門漏洞（CVE-2024-3094）,，CVSS評(píng)分10。由于SSH底層依賴了liblzma,，攻擊者可能利用這一漏洞在受影響的系統(tǒng)上繞過SSH的認(rèn)證獲得未授權(quán)訪問權(quán)限,，從而執(zhí)行任意代碼,。經(jīng)排查后發(fā)現(xiàn)為xz的tarball上游軟件包中感染后門程序，該后門在構(gòu)建過程中從偽裝的測(cè)試文件中提取.o文件,，然后使用提取的文件修改liblzma中特定的函數(shù),，導(dǎo)致生成了一個(gè)被修改過的liblzma庫，任何鏈接此庫的軟件都可能使用它攔截并修改與此庫的數(shù)據(jù)交互,。該后門程序存在于完整的下載包中,，請(qǐng)相關(guān)用戶盡快采取措施進(jìn)行防護(hù)。

  XZ-Utils是Linux,、Unix等POSIX兼容系統(tǒng)中廣泛用于處理.xz文件的套件,，包含liblzma、xz等組件,，已集成在debian,、ubuntu、centos等發(fā)行版?zhèn)}庫中,。

 【影響范圍】

  XZ Utils = 5.6.0-5.6.1

  注：XZ的Git發(fā)行版中暫未發(fā)現(xiàn)惡意代碼，僅存在于完整的下載包中,。

  目前已知受影響的Linux發(fā)行版：

  Fedora Rawhide（開發(fā)版本）

  Fedora 41

  MACOS HomeBrew x64

  openSUSE Tumbleweed 及 MicroOS（3月7日至3月28日期間發(fā)行）

  Kali Linux （3月26日至3月28日期間發(fā)行的xz-utils 5.6.0-0.2）

  Debian 5.5.1alpha-0.1 至 5.6.1-1（非穩(wěn)定的xz測(cè)試版本）

 【不受影響版本】

  XZ Utils < 5.6.0

  注：因植入后門的開發(fā)者于2021年開始參與維護(hù),，安全起見建議用戶將XZ-Utils降級(jí)至5.4或之前版本。

  CentOS/Redhat/Ubuntu/Debian/Fedora等Linux發(fā)行版不受影響,。

  【漏洞防護(hù)】

  目前官方暫未針對(duì)此后門漏洞發(fā)布公告和安全更新,，相關(guān)用戶可將xz-utils降級(jí)至5.6.0之前版本或在應(yīng)用中替換為7zip等組件。