漏洞描述
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在Debian、Ubuntu、CentOS等发行版仓库中。
开发者JiaT75在其GitHub仓库中发布的5.6.0和5.6.1版本(github.com/tukaani-project/xz/releases/)加入了后门逻辑,使得构建的liblzma包含额外的耗时计算逻辑。
systemd依赖liblzma,导致sshd等依赖于systemd的应用程序也受到影响,sshd服务启动速度变慢,存在未授权访问风险。
存在后门版本的xz-utils官方发布于2024年2月24日,被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch Linux等少数仓库集成,暂未被大规模应用,CentOS/Redhat/Ubuntu/Debian/Fedora等stable仓库不受影响。
| 漏洞名称 |
XZ-Utils 5.6.0-5.6.1版本存在后门风险 |
| 漏洞类型 |
隐藏功能 |
| 发现时间 |
2024-03-30 |
| 漏洞影响广度 |
小 |
| MPS编号 |
MPS-03mz-nh7f |
| CVE编号 |
CVE-2024-3094 |
| CNVD编号 |
- |
影响范围
xz-utils@[5.6.0, 5.6.1]
修复方案
将xz-utils降级至5.6.0以前版本或在应用中替换为7zip等组件
参考链接
https://www.oscs1024.com/hd/MPS-03mz-nh7f
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://salsa.debian.org/debian/xz-utils/-/blob/debian/unstable/m4/build-to-host.m4?ref_type=heads#L63
https://github.com/tukaani-project/xz/releases
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
![]()
