点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
xz被发现有后门,影响巨大
xz-utils 的 5.6.0 和 5.6.1 版本被维护者 Jia Tan 注入了后门。在 2024 年 3 月 29 日,后门被发现并迅速引起了各大发行版的注意。
xz-utils 分为 liblzma 和 xz 两部分。xz 是一个单文件压缩软件,采用了压缩率高的 LZMA 算法,在 Linux 中被广泛使用。liblzma 是 LZMA 算法的实现,被应用于 systemd 等多个 Linux 系统和应用软件。
目前,Arch Linux 等多个发行版向用户发出了警告,要求用户立即降级或升级到不存在后门或已经去除后门的 xz-utils 版本。
此次供应链投毒事件,攻击者通过上游开源项目xz-utils进行,2022 年起账户名 Jia Tan 开始向该项目贡献代码,用两年时间成为主要贡献者,潜伏两年,随后完成投毒,这些受影响版本已经被多个Linux发行版本集成。
漏洞名称:
XZ-Utils 5.6.0/5.6.1版本后门风险(CVE-2024-3094)
披露时间
2024-03-29夜间
漏洞描述
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。2024年3月30日,安全社区披露其存在 CVE-2024-3094 XZ-Utils 5.6.0-5.6.1版本后门风险。该后门存在于XZ Utils的5.6.0和5.6.1版本中,由于SSH底层依赖了liblzma等,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。
受影响版本
5.6.0
5.6.1
修复建议
若您使用了受影响版本的XZ Util,建议您降级至 5.6.0 以下版本。
参考链接
https://access.redhat.com/security/cve/CVE-2024-3094
原文始发于微信公众号(SecHub网络安全社区):核弹!liblzma /xz存在后门,攻击者能破坏sshd身份认证并获取系统权限!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论