Red Hat敦促用户立即停止使用运行Fedora开发和实验版本的系统,因为最新版本的“xz”工具和库中存在后门。Red Hat信息风险与安全以及Red Hat产品安全确定,Fedora Linux 40 beta确实使用了两个版本的xz库 - xz-libs-5.6.0-1.fc40.x86_64.rpm和xz-libs-5.6.0-2.fc40.x86_64.rpm,其中包含了看起来旨在允许未经授权访问的恶意代码。专家们补充说,Fedora 40 Linux似乎没有受到影响,他们鼓励所有Fedora 40 Linux beta用户恢复到5.4.x版本。微软工程师Andres Freund发现了此后门问题,该问题被跟踪为CVE-2024-3094(CVSS评分10分)。
Red Hat发布的警告称:“请立即停止使用任何Fedora Rawhide实例进行工作或个人活动。Fedora Rawhide将很快回滚到xz-5.4.x版本,一旦完成,Fedora Rawhide实例可以安全地重新部署。请注意,Fedora Rawhide是Fedora Linux的开发发行版,并作为未来Fedora Linux版本(在本例中是尚未发布的Fedora Linux 41)的基础。
目前尚未显示Fedora Linux 40版本存在受损情况。 XZ是一种在几乎所有Linux发行版中实现的流行数据压缩格式,包括社区驱动和商业变体。研究人员发现的恶意内容被隐藏起来,仅在下载包中存在。由于缺少触发恶意代码构建所需的M4宏,Git分发不包括恶意代码。恶意构建干扰sshd通过systemd进行身份验证。在某些条件下,攻击者可以破坏sshd身份验证,并未经授权地远程访问整个系统。
Debian安全团队也发布了关于该漏洞的警告,并确认Debian稳定版本不受影响。警告称:“Andres Freund发现,xz-utils,即XZ格式压缩实用程序的上游源tarball存在被篡改,并在生成的liblzma5库中注入恶意代码。目前尚未发现任何Debian稳定版本受到影响。受影响的软件包包括Debian测试版、不稳定版和实验版,版本从5.5.1alpha-0.1(于2024年02月01日上传)到5.6.1-1。” “该软件包已被恢复为使用上游5.4.5代码,我们将其版本化为5.6.1+really5.4.5-1。建议运行Debian测试版和不稳定版的用户更新xz-utils软件包。” CISA也发布了一份警告,敦促降级到未受损的XZ版本(即5.4.6稳定版),并搜索任何恶意内容。
原文始发于微信公众号(黑猫安全):专家在许多Linux发行版中使用的XZ工具中发现了一个后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论