2024年3月30日,红帽(Red Hat)公司发布了一份紧急安全警报,警告称一款名为XZ Utils(以前名为LZMA Utils)的流行数据压缩软件的两个版本已被植入恶意代码,可能允许未经授权的远程访问。
xz是一种使用LZMA压缩算法的无损数据压缩文件格式,几乎存在于每个Linux发行版中。该漏洞(CVE-2024-3094)CVSS评分为10.0,意味着最高严重性,影响2月24日发布的5.6.0版本、3月9日发布的5.6.1版本。根据系统更新的时间,Fedora Linux 40用户可能已收到5.6.0版本,Fedora Rawhide用户可能已收到5.6.0或5.6.1版本。
根据红帽公司警报,其已确认Fedora Linux 40 beta包含两个受影响的xz版本 - xz-libs-5.6.0-1.fc40.x86_64.rpm和xz-libs-5.6.0-2.fc40.x86_64.rpm。为了安全起见,红帽建议所有Fedora 40 Linux beta用户回退到5.4.x版本。
据了解,恶意更改是由JiaT75提交的,他是xz Utils的两名主要开发人员之一。卡巴斯基表示,这是一个典型的控制转移案例。黑客在开发社区中潜伏两年,为多个与数据压缩相关的仓库做贡献,骗取最初在GitHub上维护XZ Libs项目的主开发的信任,从而在后来某日,巧妙地在项目代码中植入一个难以察觉的后门。
如果不是微软安全研究员Andres Freund在一台Linux上进行性能分析时,发现存在SSH登陆缓慢问题,并对此深入调查,恐怕会是一场全世界范围的灾难事件。
为方便用户自查,Openwall对此给出了一段用于检测是否存在后门的脚本:
#! /bin/bash
# Modified to run both (redudantly, yes, I know, I am paranoid, you should be too) checks
#
set -eu
# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
echo 'Check one: does it even exist?'
# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
# exit
fi
echo 'Check 2: function signature'
# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi代码出处:https://gist.github.com/darkerego/b8fe6b2ebf2949b5dbfa1593204ae659
粉丝福利, 免费领取C/C++ 开发学习资料包、技术视频/项目代码,1000道大厂面试题,内容包括(C++基础,网络编程,数据库,中间件,后端开发/音视频开发/Qt开发/游戏开发/Linuxn内核等进阶学习资料和最佳学习路线)↓↓↓↓↓↓见下面↓↓文章底部点击免费领取↓↓
