漏洞描述

XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件，包含liblzma、xz等组件，已集成在Debian、Ubuntu、CentOS等发行版仓库中。

开发者JiaT75在其GitHub仓库中发布的5.6.0和5.6.1版本（github.com/tukaani-project/xz/releases/）加入了后门逻辑，使得构建的liblzma包含额外的耗时计算逻辑。

systemd依赖liblzma，导致sshd等依赖于systemd的应用程序也受到影响，sshd服务启动速度变慢，存在未授权访问风险。

存在后门版本的xz-utils官方发布于2024年2月24日，被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch Linux等少数仓库集成，暂未被大规模应用，CentOS/Redhat/Ubuntu/Debian/Fedora等stable仓库不受影响。

影响范围

xz-utils@[5.6.0, 5.6.1]

修复方案

将xz-utils降级至5.6.0以前版本或在应用中替换为7zip等组件

参考链接

https://www.oscs1024.com/hd/MPS-03mz-nh7f

https://www.openwall.com/lists/oss-security/2024/03/29/4

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

https://salsa.debian.org/debian/xz-utils/-/blob/debian/unstable/m4/build-to-host.m4?ref_type=heads#L63

https://github.com/tukaani-project/xz/releases

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc