● 点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
XZ Utilѕ 工具库恶意后门植入漏洞 |
||
|
漏洞编号 |
QVD-2024-11691,CVE-2024-3094 |
||
|
公开时间 |
2024-03-29 |
影响量级 |
万级 |
|
奇安信评级 |
高危 |
CVSS 3.1分数 |
10.0 |
|
威胁类型 |
供应链攻击、后门 |
利用可能性 |
高 |
|
POC状态 |
未公开 |
在野利用状态 |
未知 |
|
EXP状态 |
未公开 |
技术细节状态 |
部分公开 |
|
危害描述:恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数,该代码是XZ Utils软件包的一部分,链接到 XZ 库的任何软件都可以使用此修改后的代码,并允许拦截和修改与该库一起使用的数据。 |
|||
影响组件
XZ是一种高压缩比的数据压缩格式,由Tukaani项目开发,几乎存在于每个Linux发行版中,无论是社区项目还是商业产品发行版。它帮助将大文件格式压缩(然后解压缩)为更小、更易管理的大小,以便通过文件传输进行共享。liblzma是一个用于处理XZ压缩格式的开源软件库。
漏洞描述
鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
本次更新内容:
新增部分IOC。
影响版本
xz == 5.6.0
其他受影响组件
使用了受影响版本XZ的操作系统或软件如openSUSE、Fedora 41、Liblzma、Debian非稳定的测试版 5.5.1alpha-0.1 到 5.6.1-1
详情可在此查询:
https://repology.org/project/xz/versions
处置建议
目前 GitHub 已经关停了整个xz项目。
| 操作系统 | 是否受影响 | 影响版本 | 官方公告 |
| Red Hat | 否 | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users | |
| Fedora | 是 | Fedora 41 and Fedora Rawhide | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users |
| Debian所有稳定版 | 否 | https://security-tracker.debian.org/tracker/CVE-2024-3094 | |
| Debian testing, unstable and experimental distributions |
是 | 5.5.1alpha-0.1(于 2024 年 2 月 1 日上传)到 5.6.1-1 | https://lists.debian.org/debian-security-announce/2024/msg00057.html |
| Kali Linux | 是 | 在3月26日至3月29日期间更新过的任何Kali安装 | https://www.kali.org/blog/about-the-xz-backdoor/ |
| OpenSUSE | 是 | Tumbleweed snapshot <= 20240328 | https://news.opensuse.org/2024/03/29/xz-backdoor/ |
| Amazon Linux | 是 | ||
| Alpine | 是 | 5.6.0 5.6.0-r0 5.6.0-r1 5.6.1 5.6.1-r0 5.6.1-r1 |
|
| MACOS HomeBrew x64 |
是 | ||
| MicroOS | 是 | 3月7日至3月28日期间发行 | |
| SUSE全部版本 | 否 | https://www.suse.com/security/cve/CVE-2024-3094.html | |
| archlinux | 是 | https://security.archlinux.org/CVE-2024-3094 | |
| Alpine edge | 是 | https://pkgs.alpinelinux.org/package/edge/main/x86/xz |
可据此查看受影响的开源操作系统 https://repology.org/project/xz/versions
自查脚本:
#! /bin/bash
set -eu
# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi
# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi
也可通过如下命令查看系统本地是否安装了受影响的XZ:
$ xz --version
xz (XZ Utils) 5.6.1
iblzma 5.6.1
目前官方尚无最新版本,需对软件版本进行降级5.4.X,请关注官方新版本发布并及时更新。
Fedora Linux 40 用户需 xz 回退到 5.4.x 版本可参考:
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266
| MD5 | 文件名 |
| 4f0cf1d2a2d44b75079b3ea5ed28fe54 | x86_64-linux-gnu-liblzma.so.5.6.0 |
| d26cefd934b33b174a795760fc79e6b5 | liblzma_la-crc64-fast-5.6.1.o |
| d302c6cb2fa1c03c710fa5285651530f | usr/lib/liblzma.so.5 |
| 212ffa0b24bb7d749532425a46764433 | 00000001.liblzma_la-crc64-fast.o |
| 53d82bb511b71a5d4794cf2d8a2072c1 | liblzma.so.5.6.1 |
| 35028f4b5c6673d6f2e1a80f02944fb2 | bad-3-corrupt_lzma2.xz |
| 9b6c6e37b84614179a56d03da9585872 | bad-3-corrupt_lzma2.xz |
| 540c665dfcd4e5cfba5b72b4787fec4f | good-large_compressed.lzma |
| 89e11f41c5afcf6c641b19230dc5cdea | good-large_compressed.lzma |
原文始发于微信公众号(代码卫士):XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094)安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论