在多个 Linux 发行版中注入 XZ 压缩工具的后门

由于通过 SSH 使用远程登录时 CPU 使用率异常高和错误消息，软件开发人员 Andreas Freund 注意到他的 Debian SID 安装中存在一个巨大的安全漏洞。开发人员能够将原因确定为 XZ-Tools，这是许多 Linux 发行版中包含并由 SSH 使用的压缩工具的集合。

该漏洞被称为 CVE-2024-3094，允许未经授权远程访问受影响的 Linux 系统。受后门影响的版本是 2 月下旬的 5.6.0 版和 3 月 9 日的 5.6.1 版中的 XZ 实用程序和相关的 liblmza 库。这些受感染的 XZ 版本由 XZ 开发人员之一自己引入，绕过 SSH 身份验证，使攻击者能够完全远程控制系统。

软件开发人员 Andreas Freund 在描述他发现该漏洞时写道：“在过去几周在 Debian sid 安装中观察到 liblzma（xz 软件包的一部分）出现一些奇怪的症状（使用 ssh 登录占用大量 CPU、valgrind 错误）后，我找到了答案：上游 xz 存储库和 xz 压缩包已被后门。起初我以为这是 Debian 软件包的妥协，但事实证明它是上游的。

后门代码仅部分隐藏在 GitHub 上的开源代码中，GitHub 本身也暂时暂停了 XZ Utilities 帐户。受影响的 Linux 发行版，其更新已经可用，但 Fedora Rawhide 除外，是

Debian 测试，不稳定和实验性

Fedora Rawhide

Arch Linux

openSUSE 风滚草

Debian Stable、Fedora 39、openSUSE Leap 或 Red Hat Enterprise Linux （RHEL） 等发行版不受 XZ Utilities 中漏洞的影响。如果您使用的是上述 Linux 发行版之一，则可以在控制台中使用 xz -version 检查 XZ Utilities 的版本号。理想情况下，建议全新安装，尤其是在 Linux 系统上启用了 SSH 访问时。

来源：IT时代网

IT时代网(关注微信公众号ITtime2000，定时推送，互动有福利惊喜)所有原创文章版权所有，未经授权，转载必究。
创客100创投基金成立于2015年，直通硅谷，专注于TMT领域早期项目投资。LP均来自政府、互联网IT、传媒知名企业和个人。创客100创投基金对IT、通信、互联网、IP等有着自己独特眼光和丰富的资源。决策快、投资快是创客100基金最显著的特点。

相关文章

在多个 Linux 发行版中注入 XZ 压缩工具的后门