0x00 背景介绍
3月29日,Openwall 邮件列表中公布了名为 XZ Utils 的流行软件包中的后门。涉及混淆恶意代码的供应链攻击。
开发人员表示此次涉及一个名为 liblzma 的库,SSHD 使用该库,SSHD 是用于远程访问的 Internet 基础设施的关键部分。加载后,CVE-2024-3094会影响 SSHD 的身份验证,恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码存在于XZ版本的5.6.0 、 5.6.1。
CVE-2024-3094
0x03漏洞等级
高危
xz 和 liblzma 5.6.0~5.6.1 版本,已知可能包括的发行版 / 包管理系统有:
Fedora 41 / Fedora Rawhide
Debian Sid
Alpine Edge
Arch Linux
openSUSE Tumbleweed
openSUSE MicroOS
可利用如下脚本进行自查:
set -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"# does it even exist?if [ "$path" == "" ]thenecho probably not vulnerableexitfi# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410thenecho probably vulnerableelseecho probably not vulnerablefi
https://www.lacework.com/blog/guidance-for-cve-2024-3094-finding-and-responding-to-the-latest-supply-chain-compromise-with-lacework/
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/
https://github.com/byinarie/CVE-2024-3094-info
https://build.opensuse.org/request/show/1163302
0x07 声明
天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。
原文始发于微信公众号(天融信阿尔法实验室):【风险提示】天融信关于liblzma/xz库5.6.0、5.6.1版本后门事件(CVE-2024-3094)的风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论