描述:
一个恶意后门被发现嵌入于 XZ Utils 的 5.6.0 及 5.6.1 版本。XZ Utils 是一个数据压缩库,并可能存在于一些 Linux 发行版本。未通过认证的远端攻击者可利用该后门,未经授权而接达受影响的系统。
数个产品供应商已发布有关一些 Linux 发行版本所使用的 XZ Utils 5.6.0 及 5.6.1 版本发现的后门的安全公告。不少报告揭示该后门问题 (CVE-2024-3094) 正处于被利用的高风险,并可让恶意攻击者未经授权接达受影响的系统。系统管理员应立即採取行动,以减低受到网络攻击的风险。
受影响的系统:
- XZ Utils 5.6.0 至 5.6.1 版本
影响:
成功利用该后门可以导致未经授权接达受影响的系统。
建议:
开发人员及用户应将受影响的 XZ Utils 降级至已知不受影响的版本,例如 5.4.6 Stable。
Linux 系统的系统管理员应谘询相应产品供应商有关正在使用的 Linux 发行版本是否受影响。如正在使用受影响的 Linux 发行版本,应立即停止使用相关版本,并遵从产品供应商的建议以降低风险。以下是已知受影响 Linux 发行版本的列表,但并不包括所有受影响版本:
- Debian Testing 及 Unstable
https://security-tracker.debian.org/tracker/CVE-2024-3094
https://lists.debian.org/debian-security-announce/2024/msg00057.html
- openSUSE Tumbleweed 及 MicroOS
https://news.opensuse.org/2024/03/29/xz-backdoor
- Fedora Rawhide 及 Fedora Linux 40 beta
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
进一步资讯:
- https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils
- https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094