近日,市委网信办技术支撑单位监测发现liblzma/xz库存在被植入后门的风险隐患,建议尽快做好自查及防护。
1.1漏洞描述
xz是Linux发行版广泛使用的压缩格式之一,xz-utils是xz格式压缩程序,xz-utils分为liblzma和xz两部分。xz是一个单文件压缩软件,采用了压缩率高的LZMA算法。liblzma是LZMA算法的实现,被应用于systemd等多个Linux系统和应用软件。
xz-utils源代码包上游liblzma库被植入了恶意代码,恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数,该代码是xz-utils软件包的一部分,链接到xz库的任何软件都可以使用此修改后的代码,并允许拦截和修改与该库一起使用的数据。
1.2漏洞编号
CVE-2024-3094
1.3漏洞等级
高危
二、修复建议
2.1受影响版本:
xz和liblzma 5.6.0~5.6.1版本,恶意代码还不存在于xz的Git发行版中,仅存在于完整的下载包中。可能包括的发行版/包管理系统有:
Fedora 41/Fedora Rawhide
Debian Sid
Alpine Edge
x64 架构的homebrew
滚动更新的发行版,包括Arch Linux/OpenSUSE Tumblewee
如果系统使用systemd启动OpenSSH服务器,SSH认证过程可能被攻击。
非x64(amd64)架构的系统不受影响。
2.2修复建议:
及时升级至安全版本。
