近日，綠盟科技CERT監(jiān)測到安全社區(qū)披露XZ-Utils存在后門漏洞（CVE-2024-3094），CVSS評分10。由于SSH底層依賴了liblzma，攻擊者可能利用這一漏洞在受影響的系統(tǒng)上繞過SSH的認證獲得未授權(quán)訪問權(quán)限，從而執(zhí)行任意代碼。經(jīng)排查后發(fā)現(xiàn)為xz的tarball上游軟件包中感染后門程序，該后門在構(gòu)建過程中從偽裝的測試文件中提取.o文件，然后使用提取的文件修改liblzma中特定的函數(shù)，導致生成了一個被修改過的liblzma庫，任何鏈接此庫的軟件都可能使用它攔截并修改與此庫的數(shù)據(jù)交互。該后門程序存在于完整的下載包中，請相關(guān)用戶盡快采取措施進行防護。

  XZ-Utils是Linux、Unix等POSIX兼容系統(tǒng)中廣泛用于處理.xz文件的套件，包含liblzma、xz等組件，已集成在debian、ubuntu、centos等發(fā)行版?zhèn)}庫中。

 【影響范圍】

  XZ Utils = 5.6.0-5.6.1

  注：XZ的Git發(fā)行版中暫未發(fā)現(xiàn)惡意代碼，僅存在于完整的下載包中。

  目前已知受影響的Linux發(fā)行版：

  Fedora Rawhide（開發(fā)版本）

  Fedora 41

  MACOS HomeBrew x64

  openSUSE Tumbleweed 及 MicroOS（3月7日至3月28日期間發(fā)行）

  Kali Linux （3月26日至3月28日期間發(fā)行的xz-utils 5.6.0-0.2）

  Debian 5.5.1alpha-0.1 至 5.6.1-1（非穩(wěn)定的xz測試版本）

 【不受影響版本】

  XZ Utils < 5.6.0

  注：因植入后門的開發(fā)者于2021年開始參與維護，安全起見建議用戶將XZ-Utils降級至5.4或之前版本。

  CentOS/Redhat/Ubuntu/Debian/Fedora等Linux發(fā)行版不受影響。

  【漏洞防護】

  目前官方暫未針對此后門漏洞發(fā)布公告和安全更新，相關(guān)用戶可將xz-utils降級至5.6.0之前版本或在應用中替換為7zip等組件。