【漏洞预警】XZ-Utils 5.6.0-5.6.1版本存在后门风险CVE-2024-3094

admin 2024年4月2日08:29:44评论9 views字数 957阅读3分11秒阅读模式

【漏洞预警】XZ-Utils 5.6.0-5.6.1版本存在后门风险CVE-2024-3094

漏洞描述:
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在Debian、Ubuntu、CentOS等发行版仓库中,开发者JiaT75在其GitHub仓库中发布的5.6.0和5.6.1版本(github.com/tukaani-project/xz/releases/)加入了后门逻辑,使得构建的liblzma包含额外的代码注入逻辑,systemd依赖liblzma,导致sshd等依赖于systemd的应用程序也受到影响,后门针对sshd通过特定的证书签名进行公钥认证时,可执行其中的任意命令,存在后门版本的xz-utils官方发布于2024年2月24日,被Debian unstable分支、Fedora Rawhide、Fedora 40、ArchLinux等少数仓库集成,暂未被大规模应用,CentOS/Redhat/Ubuntu/Debian/Fedora等stable仓库不受影响。

【漏洞预警】XZ-Utils 5.6.0-5.6.1版本存在后门风险CVE-2024-3094

影响范围:
xz-utils[5.6.0, 5.6.1]

xz-utils(-∞, 5.6.1+really5.4.5-1)

xz-utils(-∞, 5.6.1+really5.4.5-1)

修复方案:
将xz-utils降级至5.6.0以前版本或在应用中替换为7zip等组件

将组件 xz-utils 升级至 5.6.1+really5.4.5-1 及以上版本

参考链接:
https://www.openwall.com/lists/oss-security/2024/03/29/4

https://salsa.debian.org/debian/xz-utils/-/blob/debian/unstable/m4/build-to-host.m4?ref_type=heads#L63

https://github.com/tukaani-project/xz/releases

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

原文始发于微信公众号(飓风网络安全):【漏洞预警】XZ-Utils 5.6.0-5.6.1版本存在后门风险CVE-2024-3094

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月2日08:29:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】XZ-Utils 5.6.0-5.6.1版本存在后门风险CVE-2024-3094https://cn-sec.com/archives/2620864.html

发表评论

匿名网友 填写信息