关于 XZ-Utils 漏洞风险(CVE-2024-3094)的检测与修复

关于 XZ-Utils 漏洞风险(CVE-2024-3094)的检测与修复

概述

XZ-Utils 包含 liblzma、xz 等组件,是 Linux、Unix 等 POSIX 兼容系统中广泛用于处理 .xz 文件的套件。该套件在 ubuntu、debian、centos 等发行版仓库中均有集成。2024年3月30日,安全社区披露其存在恶意后门风险,且被分配了漏洞编号(CVE-2024-3094)。该后门存在于 XZ Utils 的5.6.0和5.6.1版本中。由于SSH 底层依赖了 liblzma 等库,攻击者可能利用这一漏洞在受影响的系统上绕过 SSH 的认证获得未授权的访问权限,从而执行任意代码。

若您是 XZ 压缩工具的用户,或者您的服务器安装了 XZ 压缩工具,建议您立即排查。

发行版

Red Hat

Fedora 41 和 Fedora Rawhide 中存在易受攻击的软件包。 Red Hat Enterprise Linux (RHEL) 的所有版本均不受影响

openSUSE

openSUSE Tumbleweed 和 openSUSE MicroOS 在3月7日至3月28日期间包含了受影响的 xz 版本

Debian Linux

发行版的稳定版本不会受到影响,但测试版、不稳定版和实验版中都包含受感染的软件包

Kali Linux

如果系统在3月26 日至3月29日之间进行过更新,则用户应再次更新以获得修复

Ubuntu

Ubuntu 的所有发行版本均未受到此问题的影响

Arch Linux

安装版本是2024.03.01或者虚拟机镜像是20240301.218094和20240315.221711的包含此后门

排查方法

通过命令行输入 xz –version 检查 xz 版本,如果输出为 5.6.0 或 5.6.1 ,说明系统可能受后门风险影响。

如果查出版本在受影响范围内,可利用如下自查脚本排查是否存在后门:

#! /bin/bash

set -eu

# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"

# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi

# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi

目前 GitHub 已关停整个 xz 项目,官方尚无最新版本,需对软件版本进行降级5.4.X,请关注官方新版本发布并及时更新。

© 版权声明
THE END
喜欢就支持一下吧
点赞8 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容