概述
XZ-Utils 包含 liblzma、xz 等组件,是 Linux、Unix 等 POSIX 兼容系统中广泛用于处理 .xz 文件的套件。该套件在 ubuntu、debian、centos 等发行版仓库中均有集成。2024年3月30日,安全社区披露其存在恶意后门风险,且被分配了漏洞编号(CVE-2024-3094)。该后门存在于 XZ Utils 的5.6.0和5.6.1版本中。由于SSH 底层依赖了 liblzma 等库,攻击者可能利用这一漏洞在受影响的系统上绕过 SSH 的认证获得未授权的访问权限,从而执行任意代码。
若您是 XZ 压缩工具的用户,或者您的服务器安装了 XZ 压缩工具,建议您立即排查。
发行版
Red Hat
Fedora 41 和 Fedora Rawhide 中存在易受攻击的软件包。 Red Hat Enterprise Linux (RHEL) 的所有版本均不受影响
openSUSE
openSUSE Tumbleweed 和 openSUSE MicroOS 在3月7日至3月28日期间包含了受影响的 xz 版本
Debian Linux
发行版的稳定版本不会受到影响,但测试版、不稳定版和实验版中都包含受感染的软件包
Kali Linux
如果系统在3月26 日至3月29日之间进行过更新,则用户应再次更新以获得修复
Ubuntu
Ubuntu 的所有发行版本均未受到此问题的影响
Arch Linux
安装版本是2024.03.01或者虚拟机镜像是20240301.218094和20240315.221711的包含此后门
排查方法
通过命令行输入 xz –version 检查 xz 版本,如果输出为 5.6.0 或 5.6.1 ,说明系统可能受后门风险影响。
如果查出版本在受影响范围内,可利用如下自查脚本排查是否存在后门:
#! /bin/bash
set -eu
# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi
# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi目前 GitHub 已关停整个 xz 项目,官方尚无最新版本,需对软件版本进行降级5.4.X,请关注官方新版本发布并及时更新。
© 版权声明
- 本博客所拥有的文章除特别声明外,均默认采用 CC BY-NC-SA 4.0 许可协议。
- 文章部分内容可能来源于公共网络,如有侵权,请联系博主在核实后进行修改或删除。
THE END
暂无评论内容