2024年3月30日,开源项目xz爆出一个高危漏洞。此漏洞利用开源软件供应链投毒,手法和影响范围都可以用“前所未有”来形容。CVSS给出了满分10的分值。以下为赛博昆仑团队对此漏洞的分析与响应。
|
漏洞名称 |
liblzma注入sshd添加后门远程代码执行 |
||
|
漏洞公开编号 |
CVE-2024-3094 |
||
|
昆仑漏洞库编号 |
CYKL-2024-004867 |
||
|
漏洞类型 |
后门 |
公开时间 |
2024/3/30 |
|
漏洞等级 |
严重 |
评分 |
10 |
|
漏洞所需权限 |
无权限要求 |
漏洞利用难度 |
低 |
|
PoC状态 |
已公开 |
EXP状态 |
存在 |
|
漏洞细节 |
已公开 |
在野利用 |
存在 |
-
检测方法
1)自动检测:赛博昆仑的“女娲”产品,目前已经支持对该漏洞的自动化检测。
2)手动检测:运行xz –-version,查看版本号是否是5.6.0或者5.6.1。
-
修复建议
-
技术业务咨询
-
https://www.openwall.com/lists/oss-security/2024/03/29/4 -
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27 -
https://tukaani.org/xz-backdoor/
原文始发于微信公众号(赛博昆仑):XZ开源项目的漏洞分析与应急
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论