XZ-Utils 5.6.0-5.6.1版本存在后门风险
漏洞描述
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在Debian、Ubuntu、CentOS等发行版仓库中。
开发者JiaT75在其GitHub仓库中发布的5.6.0和5.6.1版本(github.com/tukaani-project/xz/releases/)加入了后门逻辑,使得构建的liblzma包含额外的耗时计算逻辑。
systemd依赖liblzma,导致sshd等依赖于systemd的应用程序也受到影响,sshd服务启动速度变慢,存在未授权访问风险。
存在后门版本的xz-utils官方发布于2024年2月24日,被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch Linux等少数仓库集成,暂未被大规模应用,CentOS/Redhat/Ubuntu/Debian/Fedora等stable仓库不受影响。
| 漏洞名称 | XZ-Utils 5.6.0-5.6.1版本存在后门风险 |
|---|---|
| 漏洞类型 | 隐藏功能 |
| 发现时间 | 2024-03-30 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-03mz-nh7f |
| CVE编号 | CVE-2024-3094 |
| CNVD编号 | - |
影响范围
xz-utils@[5.6.0, 5.6.1]
修复方案
将xz-utils降级至5.6.0以前版本或在应用中替换为7zip等组件
参考链接
https://www.oscs1024.com/hd/MPS-03mz-nh7f
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://github.com/tukaani-project/xz/releases
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Visual Studio Code 1.88 发布
Visual Studio Code 1.88 现已发布,具体更新内容如下: 应用自定义编辑器标签- 区分具有相同文件名的编辑器。 Locked scrolling- 通过同步滚动 side-by-side 比较编辑器。 扩展更新改进- 无需重新加载即可重新启动扩展,并通过 VS Code 版本更新扩展。 Test Coverage API- VS Code 中的 Native code coverage 支持。 Folding markers in minimap- 轻松识别并导航到 minimap 中的代码部分。 快速搜索改进- Sticky文件路径分隔符和分隔符按钮。 在"快速搜 "中将文件名分隔符设置为 sticky,以便更清楚地显示搜索结果与哪个文件相关联。当文件中出现多个搜索词时,这将非常有用。 Notebook Run cells in section- 快速运行 notebook部分中的所有单元格。 Copilot 改进- 改进了内联聊天 UI、 commit 消息和 used references。 Python 自动检测改进- 检测 Flask 和 Django 的...
- 下一篇
受 XZ 后门事件影响,Ubuntu 24.04 Beta 推迟发布
Ubuntu 24.04 beta 版本原计划于 4 月 4 日发布,为开发人员、测试人员和爱好者提供了几周的时间来测试新功能、查找和报告问题、检查与实际硬件的兼容性和性能等内容。 但受近日被曝出的 XZ 后门事件影响,Ubuntu 24.04 beta 已被推迟至 4 月 11 日发布。 虽然受支持的稳定版 Ubuntu 不受该漏洞影响。Canonical 方面也表示,Ubuntu 24.04 LTS (Noble Numbat) 日常构建中不存在易受攻击的库。但出于谨慎起见,项目团队已经决定重建 noble 库中的每个二进制软件包。 “由于构建依赖关系和链接的复杂性,出于谨慎起见,在恶意代码出现后(2 月 26 日)为 Noble 构建的每个二进制文件都已删除,目前正在重建中。” 官方建议,任何拥有自托管存储库或镜像的用户都应确认其系统中没有受影响的库(liblzma 5.6.0 版本)。以及任何将 liblzma5 手动更新至 5.6.0 版本的用户都应谨慎行事,并考虑系统可能受到的威胁。
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Hadoop3单机部署,实现最简伪集群
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7设置SWAP分区,小内存服务器的救世主
微信收款码
支付宝收款码