|
漏洞概述 |
|||
|
漏洞名称 |
libzma / xz库存在后门(CVE-2024-3094) |
||
|
安恒CERT评级 |
1级 |
CVSS3.1评分 |
10.0(安恒自评) |
|
CVE编号 |
CVE-2024-3094 |
CNVD编号 |
未分配 |
|
CNNVD编号 |
未分配 |
安恒CERT编号 |
DM-202403-002139 |
|
POC情况 |
未发现 |
EXP情况 |
未发现 |
|
在野利用 |
未发现 |
研究情况 |
分析中 |
|
危害描述 |
xz的上游 tarball 中发现了恶意代码,其存在的恶意代码可能允许对受影响的系统进行未经授权的访问。liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件,使用该文件修改 liblzma 代码中的特定函数,产生一个修改后的 liblzma 库,任何链接到该库的软件都可以使用该库,拦截并修改与该库的数据交互。 |
||
漏洞信息
漏洞描述
libzma/xz是一款功能强大的数据压缩库,为用户提供高效的压缩和解压缩功能。它基于xz压缩算法,具有出色的压缩比和性能。libzma/xz支持多种流行的压缩格式,包括xz和7z。
应急响应等级:1级
漏洞类型:后门攻击
影响范围
影响版本:
xz utils = 5.6.0
xz utils = 5.6.1
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):无需任何权限
用户交互(UI):不需要用户交互
影响范围 (S):改变
机密性影响 (C):高
完整性影响 (l):高
可用性影响 (A):高
修复方案
官方修复方案:
及时关注官方发布的最新版本,受影响的用户建议更新至安全版本。
临时缓解方案:
将XZ Utils版本降级至不受影响的版本。
参考链接:
https://build.opensuse.org/request/show/1163302
自我排查方案:
若版本处于受影响范围可以使用自查脚本进行排查。
#! /bin/bashset -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"# does it even exist?if [ "$path" == "" ]thenecho probably not vulnerableexitfi# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410thenecho probably vulnerableelseecho probably not vulnerablefi
参考资料
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://github.com/lypd0/CVE-2024-3094-Vulnerabity-Checker
技术支持
如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。
原文始发于微信公众号(安恒信息CERT):【风险通告】libzma / xz库存在后门(CVE-2024-3094)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论