XZ Utils 后门仍然潜伏在 Docker 镜像中

安全研究公司 Binarly 发布报告称，曾在 2024 年曝光的 XZ Utils 后门仍在部分 Docker 镜像中潜伏，提醒开发者和运维人员容器供应链的潜在风险仍未彻底消除。

xz-utils 软件包曾在 2024 年被发现存在严重后门（CVE‑2024‑3094，CVSS 10.0 分）。该后门通过 liblzma.so 对 OpenSSH 函数加钩子，实现绕过 SSH 认证和远程执行权限操作。

尽管该漏洞在公开后迅速修复，但 Binarly 团队最新扫描显示，截至 2025 年 8 月，仍有 12 个 Debian 官方基础镜像直接包含该后门，并且通过依赖关系，至少有 35 个镜像存在潜在传播风险。

针对该情况，Debian 维护者回应称，这些镜像属于过时开发版，主要保留历史记录，因此选择不移除。Binarly 则提醒，即便利用条件苛刻，这些带网络触发能力的后门镜像仍可能被自动化构建或无意拉取带入生产环境，存在潜在安全威胁。