漏洞情报-九游会老哥交流区

发布者:冯海涛发布时间:2024-04-23浏览次数:41

  近日,绿盟科技cert监测到安全社区披露xz-utils存在后门漏洞(cve-2024-3094),cvss评分10。由于ssh底层依赖了liblzma,攻击者可能利用这一漏洞在受影响的系统上绕过ssh的认证获得未授权访问权限,从而执行任意代码。经排查后发现为xz的tarball上游软件包中感染后门程序,该后门在构建过程中从伪装的测试文件中提取.o文件,然后使用提取的文件修改liblzma中特定的函数,导致生成了一个被修改过的liblzma库,任何链接此库的软件都可能使用它拦截并修改与此库的数据交互。该后门程序存在于完整的下载包中,请相关用户尽快采取措施进行防护。

  xz-utils是linux、unix等posix兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。

 【影响范围】

  xz utils = 5.6.0-5.6.1

  注:xz的git发行版中暂未发现恶意代码,仅存在于完整的下载包中。

  目前已知受影响的linux发行版:

  fedora rawhide(开发版本)

  fedora 41

  macos homebrew x64

  opensuse tumbleweed 及 microos(3月7日至3月28日期间发行)

  kali linux (3月26日至3月28日期间发行的xz-utils 5.6.0-0.2)

  debian 5.5.1alpha-0.1 至 5.6.1-1(非稳定的xz测试版本)

 【不受影响版本】

  xz utils < 5.6.0

  注:因植入后门的开发者于2021年开始参与维护,安全起见建议用户将xz-utils降级至5.4或之前版本。

  centos/redhat/ubuntu/debian/fedora等linux发行版不受影响。

  【漏洞防护】

  目前官方暂未针对此后门漏洞发布公告和安全更新,相关用户可将xz-utils降级至5.6.0之前版本或在应用中替换为7zip等组件。


网站地图