Notebookcheck Logo

多个 Linux 发行版中的 XZ 压缩工具被注入后门

大规模漏洞威胁多个 Linux 发行版,尤其是那些更新较快的发行版(图片:用 Dall-E 3 生成)
大规模漏洞威胁多个 Linux 发行版,尤其是那些更新较快的发行版(图片:用 Dall-E 3 生成)
在 XZ 压缩工具中发现了一个关键漏洞,允许通过 SSH 远程登录进行远程访问。滚动 Linux 发行版尤其受到影响,目前已有更新。
Security Linux / Unix

由于通过 SSH 远程登录时出现异常高的 CPU 占用率和错误信息,软件开发人员 Andreas Freund 发现他的 Debian SID 安装中存在一个巨大的安全漏洞。该开发人员能够确定起因是 XZ-Tools,这是一个压缩工具集合,包含在许多 Linux 发行版中并被 SSH 使用。

该漏洞被称为CVE-2024-3094该漏洞允许未经授权远程访问受影响的 Linux 系统。受后门影响的版本是 XZ 实用程序和相关 liblmza 库(2 月底的 5.6.0 版和 3 月 9 日的 5.6.1 版)。这些被入侵的 XZ 版本是由 XZ 开发人员之一自己提出的,它们绕过了 SSH 身份验证,允许攻击者完全远程控制系统。

软件开发人员 Andreas Freund 写道,他发现了这个漏洞:"过去几周,我在 Debian sid 安装的 liblzma(xz 软件包的一部分)上观察到了一些奇怪的症状(使用 ssh 登录占用大量 CPU、valgrind 错误),之后我找到了答案:上游的 xz 软件仓库和 xz 压缩包都被屏蔽了。起初我以为是 Debian 的软件包出了问题,但事实证明是上游的软件包出了问题。

后门代码只是部分隐藏在 GitHub 上的开放源代码中,GitHub 本身已暂时中止了 XZ Utilities 账户。除 Fedora Rawhide 外,受影响的 Linux 发行版已提供更新,它们是

  • Debian 测试版、不稳定版和实验版
  • Fedora Rawhide
  • Arch Linux
  • openSUSE Tumbleweed

Debian Stable、Fedora 39、openSUSE Leap 或 Red Hat Enterprise Linux (RHEL) 等发行版不受 XZ Utilities 漏洞影响。如果你使用的是上述 Linux 发行版之一,可以在控制台中使用 xz -version 检查 XZ Utilities 的版本号。理想情况下,建议重新安装,尤其是在 Linux 系统上启用了 SSH 访问的情况下。

Please share our article, every link counts!
Mail Logo
> Notebookcheck中文版(NBC中国) > 新闻 > 新闻档案 > 新闻档案 2024 03 > 多个 Linux 发行版中的 XZ 压缩工具被注入后门
Alexander Pensler, 2024-03-30 (Update: 2024-03-30)