全球主机交流论坛

标题: 黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版 [打印本页]
作者: tomcb    时间: 2024-3-30 16:45
标题: 黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版
本帖最后由 tomcb 于 2024-3-30 17:04 编辑

https://t.me/c/1549025298/24179

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版,但在影响有限,可防可控

本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。程序在 5.6.0 和 5.6.1 版本中引入了恶意代码。这些恶意代码旨在允许未经授权的访问,而且这些受影响的版本已经被多个 Linux 发行版合并,但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题,编号为 CVE-2024-3094 (https://nvd.nist.gov/vuln/detail/CVE-2024-3094) ,严重性评分为 10/10 。

xz 是被 Linux 发行版广泛使用的压缩格式之一, xz-utils (LZMA-utils)是一个开源项目,2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码,然后逐步接手该项目成为项目的主要贡献者,也是该项目当前唯一的活跃贡献者。恶意代码经过混淆,只能在完整的下载包中找到,而无法在 Git 发行版中找到,因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ,使攻击者可以使用精心构造的数据跳过 RSA 密钥检验,在未授权情况下授予攻击者不受限制的访问权限。

目前看这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本,且均已发布回退更新。





https://t.me/network00000/1450

用 ArchLinux / macOS / 追新系统版本 的可能需要关注下

有一个 Linux 系统级别的漏洞已公布,该漏洞可让攻击者无需通过 SSH 验证即可登录服务器执行任意代码

Debian/Ubuntu  的检查命令:
apt list --installed 2>&1 | grep xz | grep -E '5.6.0|5.6.1' && echo "Check your system now" || echo "Everything is ok"

macOS 的检查命令:
brew info xz | grep xz | grep -E '5.6.0|5.6.1' && echo 'Check your system now' || echo 'Everything is ok'

* 显示 Everything is ok 即不受影响

如何修复:
降级 xz-utils 即可

macOS 修复:
brew install xz

相关链接:
https://avd.aliyun.com/detail?id=AVD-2024-3094 (中文)
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://www.helpnetsecurity.com/2024/03/29/cve-2024-3094-linux-backdoor/
作者: hcyme    时间: 2024-3-30 16:47
预发布版本,不知道怎么回事
作者: McDonalds    时间: 2024-3-30 16:48
真的是牛啊 接手开发了两年项目成为第一贡献者 然后下后门
作者: nut    时间: 2024-3-30 16:49
apt list installed|grep liblzma5




IDC.WIKIRackNerd高性价比小鸡:1c1g14g2T$11.38/year(推荐)搬瓦吧 CC哥HOSTHATCH1c1g20g 20T
作者: wps    时间: 2024-3-30 16:54
这时候debian老包的优势就出来了,稳定经历时间考验,vps上的xz还是5.2.5
作者: cici9911    时间: 2024-3-30 20:35
这世界线已经走到这一步了吗. 你马勒戈壁的这种人应该fbi全球通缉
作者: acpp    时间: 2024-3-30 20:42
wps 发表于 2024-3-30 16:54
这时候debian老包的优势就出来了,稳定经历时间考验,vps上的xz还是5.2.5

所以没事别乱升级也是有好处
作者: hcyme    时间: 2024-3-30 20:44
只有三台ubu,刚刚看了一眼也没什么事,其余debian就省心了
作者: caddy    时间: 2024-3-30 20:54
  1. 2022 年起有个名为 Jia Tan 的账号
复制代码


这不明显是中国人
作者: YorkZhao    时间: 2024-3-30 20:56
acpp 发表于 2024-3-30 20:42
所以没事别乱升级也是有好处

我尊贵的Debian12还不是一点影响都没有
作者: Apian    时间: 2024-3-30 22:29
apt list --installed 2>&1 | grep xz
xz-utils/oldoldstable,oldoldstable,now 5.2.4-1+deb10u1 armhf [installed]
作者: BackDoor    时间: 2024-3-30 22:43
提示: 作者被禁止或删除 内容自动屏蔽
作者: ban    时间: 2024-3-30 22:44
我这是咋回事?
mbp 13.5.1
作者: 法外狂徒张三    时间: 2024-3-31 01:06
5.4.1
作者: Ikex    时间: 2024-3-31 01:14
caddy 发表于 2024-3-30 20:54
这不明显是中国人

git 历史有次全名 Jia Cheong Tan
作者: dole    时间: 2024-3-31 01:24
开始暗杀mJJ了吗
作者: 打听哥    时间: 2024-3-31 05:31
Ikex 发表于 2024-3-31 01:14
git 历史有次全名 Jia Cheong Tan

台巴子
作者: tinyfish    时间: 2024-3-31 05:43
连我termux都影响了,然后包被回滚了
~ $ apt list xz-utils
Listing... Done
xz-utils/stable,now 5.6.1+really5.4.5 aarch64 [installed]
~ $ xz --version
xz (XZ Utils) 5.4.5
liblzma 5.4.5
~ $





欢迎光临 全球主机交流论坛 (https://91ai.net/) Powered by Discuz! X3.4