"红帽发出紧急警告:Linux压缩神器XZ遭曝高危漏洞,停用前必看!(2024.4.1)
创建时间:2025-01-21 13:50
Red Hat Enterprise Linux(RHEL)系列尚未发现受影响的版本,这无疑为那些依赖RHEL的企业用户带来了一丝安慰。然而,对于Debian用户来说,情况则稍显严峻。安全团队已经确认,在适用于Debian unstable(Sid)发行版的XZ 5.6.x版本中,确实存在后门,可注入恶意代码。尽管Debian的稳定版并未受到此次漏洞的影响,但在受影响的测试版、不稳定版和实验版中,XZ已经被还原为上游的5.4.5代码。
安全问题的发现源于微软软件工程师安德烈斯・弗罗因德(Andres Freund)在调查Debian Sid(Debian发行版的滚动开发版本)SSH登录缓慢问题时的一次偶然。他敏锐地察觉到XZ格式压缩实用程序xz-utils的上游源代码压缩包似乎被篡改,并在构建过程中向生成的liblzma5库中注入了恶意代码。然而,目前尚不清楚在XZ 5.6.0和5.6.1版本中添加这些恶意代码的具体目的。
Red Hat正在积极跟踪这一供应链安全问题,并将其命名为CVE-2024-3094,其严重性评分高达10/10。为了应对这一威胁,Fedora 40测试版已经恢复了使用5.4.x版本的XZ。XZ Utils作为一款专为POSIX平台开发的高压缩率工具,以其LZMA2压缩算法闻名,能够在生成比传统gzip、bzip2更小的压缩文件的同时,保持极快的解压缩速度。然而,此次安全漏洞的发现无疑给这款工具的前景蒙上了一层阴影。在此,我们呼吁所有用户保持警惕,密切关注官方公告,及时更新软件版本,以确保系统和数据的安全。
