0x01 XZ-Utils
XZ 是类 Unix 操作系统上的一种无损数据压缩格式,类似于 gzip 和 bzip2 等其他常见数据压缩格式。XZ-Utils 是一个命令行工具,包含 XZ 文件和 liblzma 的压缩和解压缩功能,liblzma是XZ-Utils依赖的一个压缩库,提供了类似于zlib的编程接口,用于实现LZMA算法,允许开发者在他们的应用程序中集成LZMA压缩和解压缩功能。
0x02 漏洞简介
从 5.6.0 版本开始,XZ 的上游 tarball 中发现被投毒植入了恶意代码。恶意代码修改了XZ Utils包中liblzma库的函数,可能导致任何链接到XZ库的软件能够拦截和修改数据。在特定条件下,该后门可能允许恶意行为者破坏sshd认证,从而获得对受影响系统的访问权限。
0x02 影响范围
XZ-Utils >= 5.6.0(5.6.0,5.6.1)
0x05 漏洞信息
-
漏洞名称:XZ-Utils / liblzma 恶意代码
-
漏洞编号:暂无
-
漏洞危害:高危 后门漏洞
-
漏洞poc:已知
-
漏洞exp:已知
-
在野利用:已知
0x06 漏洞修复
排查XZ-Utils的版本,对XZ-Utils进行降级处理,降级到5.6.0 以下版本
可使用以下命令检查xz的版本:
`xz -V` 或 `xz -version`各Linux发行版用户也可参考官方发布的安全通告进行排查修复:
Red Hat用户 ,参考:https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Debian用户,参考:https://lists.debian.org/debian-security-announce/2024/msg00057.html
原文始发于微信公众号(火山信安实验室):【漏洞通报】XZ-Utils / liblzma 被投毒植入恶意代码风险通告(CVE-2024-3094)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论