受 XZ utilities 后门影响的主要 Linux 发行版

在广泛使用的 xz 数据压缩工具和 liblzma 库的最新版本中发现了一个严重的安全漏洞。该问题的代号为 CVE-2024-3094，似乎是由于恶意代码被坏人故意插入到上游 xz 软件源中造成的。

受影响的版本是 xz 5.6.0 和 5.6.1 的 xz 压缩工具及其链接的 liblzma 核心压缩库。这些版本的源代码发布压缩包中包含经过混淆的恶意代码，而这些代码在公共 Git 代码库中并不存在。

这些后门代码旨在干扰 Linux 系统上 OpenSSH 服务器 (sshd) 的身份验证。

后门详情

安全研究人员 Andres Freund 通过逆向工程分析发现，恶意代码使用了巧妙的技术来躲避检测。在 Debian 或 RPM 软件包构建过程中，它选择性地只针对使用 GCC 和 GNU 链接器构建的 x86-64 Linux。

“上游 xz 代码库和 xz 压缩包已经被屏蔽。- Freund 指出。”起初，我以为这是对 Debian 软件包的妥协，但事实证明是上游的妥协。”

当在有漏洞的安装程序上触发时，后门会劫持 sshd 用于身份验证的 RSA 公钥解密功能。这有可能允许远程代码执行或未经授权的访问，从而彻底破坏系统的安全性。

“后门的一部分*只存在于分发的压缩包中”。”这一行*不在 build-to-host 的上游源代码中，xz 在 git 中也没有使用 build-to-host。不过，除了 “源代码 “链接外，它都存在于上游发布的压缩包中。

关于 xz 和 liblzma 的提示

xz 是使用 XZ 数据压缩格式压缩和解压文件的命令行工具。

liblzma 是实现 XZ 压缩/解压缩算法和编码的核心库。

因此，xz 是面向用户的应用程序，它在幕后利用 liblzma 库并与之链接，以执行实际的 XZ 压缩和解压缩。

liblzma 提供的 XZ 压缩功能除了 xz 工具本身外，还依赖于许多其他应用程序和库。这就是为什么向 liblzma 注入恶意代码会产生如此深远的影响–通过破坏这个核心压缩库，它可能会玷污与之链接的任何软件，比如本例中的 OpenSSH 服务器。

哪些系统受到影响？

根据操作系统供应商的通知，目前已知受影响的主要发行版有

• Fedora Linux 40 和 Fedora Rawhide（Fedora 开发分支）
• Debian 不稳定版（Sid）[确认］
• Kali Linux [受影响] [确认］
• Amazon Linux (AWS) [未受影响] [确认］
• OpenSUSE [未受影响] [确认］

Fedora 已发布更新，恢复到安全的 xz 5.4.x 版本。红帽公司还紧急警告用户立即停止使用任何 Fedora Rawhide 实例，直至修补完毕，因为这构成了即将发布的 Fedora 41 版本的基础。

虽然目前没有任何 Red Hat Enterprise Linux 版本受到影响，但该后门也可能存在于其他 Linux 发行版中，这些发行版都打包了受影响的 xz 5.6.0/5.6.1 版本。用户应向其操作系统供应商查询更新和指导信息。

目前，我们认为 5.4.6 版本不会受到此漏洞的攻击。以下是检查您是否正在运行受影响版本的方法：

xz --version

提示 – 以下是易受攻击版本的输出结果：

$ xz --version
xz (XZ Utils) 5.6.1
liblzma 5.6.1

CISA 发布咨询

CISA 在公告中指出：”CISA 和开源社区正在对 XZ Utils 5.6.0 和 5.6.1 版本中嵌入恶意代码的报告做出回应。”恶意代码可能允许未经授权访问受影响的系统”。

CISA 建议开发人员和用户将 XZ Utils 降级到未受攻击的版本，如最新的 XZ Utils 5.4.6 稳定版。他们还敦促各组织在安装了受影响版本的系统上查找任何恶意活动的迹象，并向 CISA 报告任何已确认的事件，以便进行进一步调查和事件响应。

严重的供应链攻击

恶意代码是由一个可疑的坏人直接注入到上游 xz 源代码压缩包中的，这一事实使其成为一个至关重要的供应链攻击。软件供应链破坏是一个日益严重的威胁载体，很难检测和预防。

这一问题凸显了安全软件开发实践、代码签名以及供应商对开源代码库和构建过程进行仔细审核的重要性。

所有 Linux 发行版供应商和用户都应立即安装更新的 XZ 软件包，或将 XZ Utils 降级到未受攻击的版本，以修复受影响系统上的此漏洞。

 

本文文字及图片出自 Major Linux Distributions Impacted by XZ utilities Backdoor

你也许感兴趣的：

• 【外评】桌面 Linux 是一座尚未开发的金矿
• 【外评】茶壶中的 Debian /tmpest
• 【外评】为什么你的 Linux 内核错误报告可能毫无结果？
• BitKeeper、Linux 和许可纠纷：Linus 如何在 14 天内写出 Git
• 【外评】英伟达™（NVIDIA®）开放式 GPU Linux 内核驱动程序即将成为“图灵”及将来 GPU 的默认设置
• 如何从 Windows 安装程序安装 Linux
• 【外评】Ubuntu 桌面 24.04 LTS：Noble Numbat 深度挖掘
• 【外评】Ubuntu 24.04 LTS Noble Numbat 正式发布
• 【程序员搞笑图片】就差那么一点
• 【译文】 Linus Torvalds 在 Linux Kconfig 中故意将缩进的使用复杂化