漏洞背景
近日,嘉诚安全监测到国外安全研究员发布消息,在XZ-Utils软件包5.6.0、5.6.1版本中,存在供应链攻击及植入后门风险,该漏洞编号为:CVE-2024-3094。
XZ-Utils是Linux/Unix系统中用于处理.xz和.lzma文件的命令行压缩工具,集成了liblzma等组件。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快检查使用的XZ是否为受影响的版本、是否被感染后门,关注官方新版本发布并及时更新,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为高危漏洞。3月29日,微软PostgreSQL开发人员Andres Freund在调查SSH性能问题时,在开源安全邮件列表中发帖称,他在xz软件包中发现了一个涉及混淆恶意代码的供应链攻击,由于SSH底层依赖了liblzma等组件,攻击者可能利用这一漏洞破坏sshd认证,并远程获取对整个系统的未授权访问权限。
危害影响
影响版本:
XZ Utils == 5.6.0
XZ Utils == 5.6.1
目前已知以下Linux发行版可能受影响:
Fedora 41
Fedora Rawhide(开发版)
Debian(不稳定版)5.5.1alpha-0.1- 5.6.1-1
Arch Linux
MACOS HomeBrew x64
Kali Linux(3月26日至3月28日期间发行的xz-utils 5.6.0-0.2)
openSUSE Tumbleweed 及 MicroOS(3月7日至3月28日期间发行)
Amazon Linux
Alpine(5.6.0、5.6.0-r0、5.6.0-r1、5.6.1、5.6.1-r0、5.6.1-r1)
Alpine edge
注:目前已知Fedora 40、RedHat 全部版本、Debian 所有稳定版、SUSE 全部版本等Linux发行版可能不易受到影响。
处置建议
1.用户可以通过执行以下命令判断使用的XZ是否为受影响的版本:
xz --version
2.也可使用如下脚本检查系统是否被感染后门:
#! /bin/bash
set -eu
# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi
# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi
链接:
https://github.com/byinarie/CVE-2024-3094-info/blob/main/xz_cve-2024-3094-detect.sh
官方暂未发布针对此漏洞的修复版本,建议安装 XZ-Utils 5.6.0、5.6.1 版本的用户卸载当前版本软件。如果确认受影响,可将XZ Utils降级至 5.4.X 版本,关注官方新版本发布并及时更新。
参考链接:
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://access.redhat.com/security/cve/CVE-2024-3094
https://bugzilla.redhat.com/show_bug.cgi?id=2272210
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://repology.org/project/xz/versions
https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266
原文始发于微信公众号(嘉诚安全):【漏洞通告】XZ Utilѕ工具库恶意后门植入漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论