XZ Utils后门漏洞
(CVE-2024-3094)
XZ Utils 是一套免费的命令行数据压缩工具,适用于类 Unix 系统和 Windows。它们使用 LZMA 算法进行无损压缩,与 gzip 和 bzip2 相比,旨在实现更高的压缩率。这个套件包括用于压缩和解压缩的 xz 命令,以及 liblzma 库。XZ Utils 起初是 Igor Pavlov 的 LZMA SDK 的 Unix 版本。在 5.6.0 和 5.6.1 版本中发现了一个后门
01 漏洞描述
漏洞类型:XZ Utils后门漏洞
02 漏洞影响版本
5.6.0<=XZ Utils<=5.6.1
03 漏洞修复方案
-
Fedora: Fedora 41 和 Fedora Rawhide 受影响。RedHat 建议立即停止使用 Fedora 41 或 Fedora Rawhide 的任何实例。 -
Debian: Debian 稳定版本未受影响。Debian 建议从 5.6.1+really5.4.5-1 版本开始,升级到未受影响的版本。 -
Kali Linux: 在 3 月 26 日至 3 月 29 日期间更新的 Kali 安装受影响。建议升级到最新版本。 -
openSUSE: openSUSE 维护者已于 3 月 28 日将 xz 的版本回滚,并发布了一个新的从安全备份构建的 Tumbleweed 快照(20240328 或更高)。 -
Alpine、Arch、Gentoo: 针对这些发行版,建议降级到早于 5.6.0 版本的 XZ Utils 未受损版本,并密切监视系统中可能出现的任何恶意或可疑活动。
04 参考链接
https://www.oschina.net/news/285463/xz-cve-2024-3094
END
原文始发于微信公众号(锋刃科技):严重:XZ Utils后门漏洞(CVE-2024-3094)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论