XZ Utils后门漏洞CVE-2024-3094详解(2024.4.19)
XZ Utils 是一个用于压缩和解压缩文件的开源软件。它使用 LZMA2 压缩算法,可以生成比传统 gzip 和 bzip2 压缩工具更小的压缩文件。XZ Utils 可用于各种操作系统,包括 Linux、Windows 和 macOS。
3月29日一名微软的开发人员在openwall网站上发帖称他在调查SSH性能问题的时候,发现SSH所使用的liblzma库(xz软件包的一部分)被植入了后门。该后门尝试在编译时提取一个伪装成测试文件的混淆脚本并运行该脚本修改代码中的函数植入后门。攻击者可以利用这个后门绕过SSH认证并获取系统权限。目前只在xz组件的5.6.0和5.6.1版本中发现了该后门,而且xz 5.6.0和5.6.1并未被linux系统广泛集成,用户可以通过该网站来查看自己所用的系统是否受影响(https://repology.org/project/xz/versions)。
用户可以在命令行中输入xz -V或xz --version命令并通过输出查看您所使用的xz版本是否是5.6.0或5.6.1,如果是,那么您的系统可能存在被植入后门的风险,请您及时回退xz的版本至5.4.x版本,并且使用自查脚本进行风险排查。
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://repology.org/project/xz/versions
