文章目录
前言
近期各个威胁情报中心通报了一例Linux漏洞,在清明节前我们也是进行了自查,幸运的是该漏洞还未集成在发行版中,得以及时发现,没有造成重大漏洞。
一、事件背景
2021年10月,植入后门漏洞的开发者JiaT75开始参与开源压缩库xz的开发,并于2023年接管了项目维护权限,于2024年2月在构建脚本中引入了一个可能允许攻击者未授权访问OpenSSH的隐蔽后门,同时联系Linux发行版维护者,要求将带后门的库打包并分发给最终用户,3月29日某开发人员在分析SSH性能故障时,发现了该供应链攻击活动。
二、漏洞概述
由于SSH底层依赖了liblzma,攻击者可能利用此漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,从而执行任意代码。经排查后发现为xz的tarball上游软件包中感染后门程序,该后门在构建过程中从伪装的测试文件中提取.o文件,然后使用提取的文件修改liblzma中特定的函数,导致生成了一个被修改过的liblzma库,任何链接此库的软件都可能使用它拦截并修改与此库的数据交互。该后门程序存在于完整的下载包中,请相关用户尽快采取措施进行排查与防护。
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。
三、影响范围
受影响版本:
XZ Utils = 5.6.0 - 5.6.1
注:XZ的Git发行版中暂未发现恶意代码,仅存在于完整的下载包中。
目前已知受影响的Linux发行版:
Fedora Rawhide(开发版本)
Fedora 41
MACOS HomeBrew x64
openSUSE Tumbleweed 及 MicroOS(3月7日至3月28日期间发行)
Kali Linux (3月26日至3月28日期间发行的xz-utils 5.6.0-0.2)
Debian(XZ测试版本5.5.1alpha-0.1 至 5.6.1-1)
不受影响版本:
XZ Utils < 5.6.0
注:因植入后门的开发者于2021年开始参与维护,安全起见建议用户将XZ-Utils降级至5.4或之前版本。CentOS/Redhat/Ubuntu/Debian/Fedora等Linux发行版不受影响。
四、漏洞检测
1、排查XZ版本
xz --version
2、可在github上搜索相关脚本运行排查
五、漏洞防护
目前官方暂未针对此后门漏洞发布公告和版本升级,相关用户可将xz-utils降级至5.6.0之前版本或在应用中替换为7zip等组件
截止发文时间,brew更新进行了版本回退,从5.6.1降级到5.4.6;Debian发布了xz utils更新,版本号为5.6.1+really5.4.5
