Linux 圈“地震”：主流压缩工具 XZ 被曝后门，红帽、Debian 等发公告要求紧急停用

loie

https://www.ithome.com/0/759/137.htm

IT之家 3 月 30 日消息，Red Hat 公司本周五发布安全公告，在最新的 XZ Utils 数据压缩工具和库中发现了一个后门，敦促用户立即停止使用 Fedora 开发和实验版本。



Red Hat 警告表示：

请立即停止在工作或者个人活动中使用任意 Fedora 41 或者 Fedora RAWHIDE 实例。目前排查结果显示 Red Hat Enterprise Linux（RHEL）没有任何版本受到影响。

我们已经在适用于 Debian unstable（Sid）发行版的 XZ 5.6.x 版本中找到相关证据，证明存在后门，可以注入相关代码。

Debian 安全团队今天也发布公告，表示当前没有发现有稳定版 Debian 使用问题 XZ 软件包，在受影响的 Debian 测试版、不稳定版和实验版中，XZ 已被还原为上游的 5.4.5 代码。



微软软件工程师安德烈斯・弗罗因德（Andres Freund）在一台 Linux 盒子上调查 Debian Sid（Debian 发行版的滚动开发版本） SSH 登录缓慢问题时，发现了这个安全问题。



弗罗因德发现 XZ 格式压缩实用程序 xz-utils 的上游源代码压缩包已被破解，并在构建时向生成的 liblzma5 库中注入恶意代码。弗罗因德表示目前并未找到在 XZ 5.6.0 和 5.6.1 版本中添加恶意代码的确切目的。

Red Hat 现正跟踪这一供应链安全问题，将其命名为 CVE-2024-3094，并将其严重性评分定为 10/10，同时在 Fedora 40 测试版中恢复使用 5.4.x 版本的 XZ。



IT之家附上参考地址

Will Dormann

CVE-2024-3094

Urgent security alert for Fedora Linux 40 and Fedora Rawhide users

[SECURITY] [DSA 5649-1] xz-utils security update

fanxinwuyou

升级了，果然有这个软件要升级……

cskeleton

查了一圈，我的 macOS 中招了， Debian 都没事

iriserin

供应链攻击

shumixc

那么统信之类的OS有没有影响

jk2336968

https://www.v2ex.com/t/1028585#reply11
多了一个点就能关闭保护措施sandbox 。
+ #include <sys/prctl.h>
+.
+ void my_sandbox(void)

ris

jk2336968 发表于 2024-3-31 23:49
https://www.v2ex.com/t/1028585#reply11
多了一个点就能关闭保护措施sandbox 。
+ #include

v2ex.com 被墙了，是吗？

smyang

还好我一直用stable

射杀恋人时

万物皆有后门

mutudu

吃完瓜, 这不是一个技术导致的漏洞, 而是一个社会工程学导致的漏洞.

imyz

显然是机翻的吧？！ Actor 译作“演员”、commit 译作“承诺”？？

a408498672

幸亏在并入正式代码前被发现了

aasa0001

mutudu 发表于 2024-4-1 10:18
吃完瓜, 这不是一个技术导致的漏洞, 而是一个社会工程学导致的漏洞.

现在骇客本来就是玩社会工程的，也有希望滚雪球。技术攻击太难了

aasa0001

imyz 发表于 2024-4-1 11:49
显然是机翻的吧？！ Actor 译作“演员”、commit 译作“承诺”？？

有几个新闻不是机翻的

声色茶马

jk2336968 发表于 2024-3-31 23:49
https://www.v2ex.com/t/1028585#reply11
多了一个点就能关闭保护措施sandbox 。
+ #include

这哥们儿真是人才，周鸿祎老师把他招安了吧。