XZ-Utils 5.6.0-5.6.1版本存在后门风险

来源: 投稿
2024-03-30 11:19:00

漏洞描述

XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在Debian、Ubuntu、CentOS等发行版仓库中。

开发者JiaT75在其GitHub仓库中发布的5.6.0和5.6.1版本(github.com/tukaani-project/xz/releases/)加入了后门逻辑,使得构建的liblzma包含额外的耗时计算逻辑。

systemd依赖liblzma,导致sshd等依赖于systemd的应用程序也受到影响,sshd服务启动速度变慢,存在未授权访问风险。

存在后门版本的xz-utils官方发布于2024年2月24日,被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch Linux等少数仓库集成,暂未被大规模应用,CentOS/Redhat/Ubuntu/Debian/Fedora等stable仓库不受影响。

漏洞名称 XZ-Utils 5.6.0-5.6.1版本存在后门风险
漏洞类型 隐藏功能
发现时间 2024-03-30
漏洞影响广度
MPS编号 MPS-03mz-nh7f
CVE编号 CVE-2024-3094
CNVD编号 -

影响范围

xz-utils@[5.6.0, 5.6.1]

修复方案

将xz-utils降级至5.6.0以前版本或在应用中替换为7zip等组件

参考链接

https://www.oscs1024.com/hd/MPS-03mz-nh7f

https://www.openwall.com/lists/oss-security/2024/03/29/4

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

https://salsa.debian.org/debian/xz-utils/-/blob/debian/unstable/m4/build-to-host.m4?ref_type=heads#L63

https://github.com/tukaani-project/xz/releases

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

    

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具: https://www.murphysec.com/?src=osc

免费情报订阅: https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

展开阅读全文
点击引领话题📣 发布并加入讨论🔥
0 评论
0 收藏
分享
返回顶部
顶部