黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版

tomcb

https://t.me/c/1549025298/24179

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版，但在影响有限，可防可控

本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。程序在 5.6.0 和 5.6.1 版本中引入了恶意代码。这些恶意代码旨在允许未经授权的访问，而且这些受影响的版本已经被多个 Linux 发行版合并，但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题，编号为 CVE-2024-3094 (https://nvd.nist.gov/vuln/detail/CVE-2024-3094) ，严重性评分为 10/10 。

xz 是被 Linux 发行版广泛使用的压缩格式之一， xz-utils (LZMA-utils)是一个开源项目，2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码，然后逐步接手该项目成为项目的主要贡献者，也是该项目当前唯一的活跃贡献者。恶意代码经过混淆，只能在完整的下载包中找到，而无法在 Git 发行版中找到，因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ，使攻击者可以使用精心构造的数据跳过 RSA 密钥检验，在未授权情况下授予攻击者不受限制的访问权限。

目前看这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本，且均已发布回退更新。





https://t.me/network00000/1450

用 ArchLinux / macOS / 追新系统版本 的可能需要关注下

有一个 Linux 系统级别的漏洞已公布，该漏洞可让攻击者无需通过 SSH 验证即可登录服务器执行任意代码

Debian/Ubuntu  的检查命令:
apt list --installed 2>&1 | grep xz | grep -E '5.6.0|5.6.1' && echo "Check your system now" || echo "Everything is ok"

macOS 的检查命令:
brew info xz | grep xz | grep -E '5.6.0|5.6.1' && echo 'Check your system now' || echo 'Everything is ok'

* 显示 Everything is ok 即不受影响

如何修复:
降级 xz-utils 即可

macOS 修复:
brew install xz

相关链接:
https://avd.aliyun.com/detail?id=AVD-2024-3094 (中文)
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://www.helpnetsecurity.com/2024/03/29/cve-2024-3094-linux-backdoor/

McDonalds

真的是牛啊 接手开发了两年项目成为第一贡献者 然后下后门

caddy

1. 2022 年起有个名为 Jia Tan 的账号

复制代码

这不明显是中国人

wps

这时候debian老包的优势就出来了，稳定经历时间考验，vps上的xz还是5.2.5

hcyme

预发布版本，不知道怎么回事

nut

apt list installed|grep liblzma5




IDC.WIKIRackNerd高性价比小鸡：1c1g14g2T$11.38/year（推荐）搬瓦吧 CC哥HOSTHATCH1c1g20g 20T

cici9911

这世界线已经走到这一步了吗. 你马勒戈壁的这种人应该fbi全球通缉

acpp

wps 发表于 2024-3-30 16:54
这时候debian老包的优势就出来了，稳定经历时间考验，vps上的xz还是5.2.5

所以没事别乱升级也是有好处

hcyme

只有三台ubu，刚刚看了一眼也没什么事，其余debian就省心了

YorkZhao

acpp 发表于 2024-3-30 20:42
所以没事别乱升级也是有好处

我尊贵的Debian12还不是一点影响都没有