摘要
漏洞名称:XZ Utilѕ 工具库恶意后门植入漏洞
漏洞编号:CVE-2024-3094
公开时间:2024-03-29
量级:
危害等级:高
漏洞详情
影响组件
XZ是一种高压缩比的数据压缩格式,由Tukaani项目开发,几乎存在于每个Linux发行版中,无论是社区项目还是商业产品发行版。它帮助将大文件格式压缩(然后解压缩)为更小、更易管理的大小,以便通过文件传输进行共享。liblzma是一个用于处理XZ压缩格式的开源软件库。
漏洞描述
近日,火毅安全团队监测到XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094),3月29日有开发人员在安全邮件列表上发帖称,他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击,进一步溯源发现SSH使用的上游liblzma库被植入了后门代码,恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数,该代码是XZ Utils软件包的一部分,链接到 XZ 库的任何软件都可以使用此修改后的代码,并允许拦截和修改与该库一起使用的数据。
鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
影响范围
影响版本
xz == 5.6.0
xz == 5.6.1
liblzma== 5.6.0
liblzma== 5.6.1
使用了受影响版本XZ的操作系统或软件如openSUSE、Fedora 41、Liblzma、Debian非稳定的测试版 5.5.1alpha-0.1 到 5.6.1-1
详情可在此查询:
https://repology.org/project/xz/versions
验证及处置建议
可据此查看受影响的开源操作系统 https://repology.org/project/xz/versions
自查脚本:联系客服获取
目前官方尚无最新版本,需对软件版本进行降级5.4.X,请关注官方新版本发布并及时更新。
Fedora Linux 40 用户需 xz 回退到 5.4.x 版本可参考:
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266
部分IOC
火毅简评
该漏洞影响范围较大,建议用户及时开全自查,防止服务器被入侵,导致安全风险,目前centos、redhat全版本、debian稳定版、suse linux暂不受影响
信息来源:火毅安全团队、奇安信安全应急响应中心、长亭安全应急响应中心、火毅盾安全应急响应中心