微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答

微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答 微软的回应包括针对受此漏洞影响的用户的关键建议。该公司建议将 XZ Utils 降级到安全版本，并使用 Microsoft Defender Vulnerability Management 和 Defender for Cloud。该漏洞是微软员工Andres Freund 在调查 Debian 系统 SSH 性能问题时 "意外 "发现的。弗罗因德注意到与 XZ Utils 更新相关的异常行为，从而发现了 XZ Utils 5.6.0 和 5.6.1 版本中故意植入的后门。该后门允许拥有正确私钥的攻击者利用 SSH 操作，授予他们对系统的 root 访问权限。后门通过五级加载器操作，操纵函数解析过程，使攻击者能够远程执行任意命令。以下是受该漏洞影响的 Linux 发行版：Fedora Rawhidehttps://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersFedora 41 测试版、不稳定版和实验版 5.5.1alpha-0.1 至 5.6.1-1。https:// Tumbleweed 和 openSUSE MicroOShttps://news.opensuse.org/2024/03/29/xz-backdoor/Kali Linuxhttps://www.kali.org/blog/about-the-xz-backdoor/值得注意的是，红帽企业 Linux（RHEL）版本不受影响。最流行的 Linux 发行版之一 Ubuntu 也没有受到影响，因为它使用的是 XZ Utils 的旧版本 5.4。除上述步骤外，还可检查您的 Linux 系统是否受该漏洞影响、在终端中运行 xz version 命令，检查系统中安装的 XZ Utils 版本。如果输出显示版本等于 5.6.0 或 5.6.1，则系统可能存在漏洞。如果您的系统正在运行易受攻击的 XZ Utils 版本，请立即采取行动更新系统，尤其是在使用基于 .deb 或 .rpm 的 glibc 发行版的情况下。优先更新在公开访问的 SSH 端口上使用 systemd 的系统，以降低直接风险。如果怀疑自己的系统可能已被入侵，还可以查看审计日志，查找任何可能表明存在未经授权访问或异常活动的异常情况。要了解微软的建议和详细的常见问题，请访问此处的微软技术社区页面。 ... PC版： 手机版：

广泛使用的实用程序中发现的后门可能导致Linux社区崩溃

广泛使用的实用程序中发现的后门可能导致Linux社区崩溃 微软的PostgreSQL开发人员安德烈斯-弗罗因德（Andres Freund）在进行一些例行的微基准测试时，注意到 ssh 进程出现了 600 毫秒的小延迟。一波未平一波又起，Freund 最终偶然发现了一种供应链攻击，其中涉及 XZ 软件包中被混淆的恶意代码。他将这一发现发布在开源安全邮件列表上，开源社区从此开始关注这一事件。开发社区迅速揭露了这一攻击是如何被巧妙地注入 XZ utils 的，XZ utils 是一个小型开源项目，至少自 2009 年以来一直由一名无偿开发人员维护。与违规提交相关的账户似乎玩起了长线游戏，慢慢赢得了 XZ 开发人员的信任，这让人们猜测恶意代码的作者是一个老练的攻击者，可能隶属于某个国家机构。该恶意代码的正式名称为 CVE-2024-3094，CVSS 评分为最高的 10 分。红帽公司报告说，恶意代码修改了 liblzma 中的函数，这是一个数据压缩库，是 XZ utils 软件包的一部分，也是几个主要 Linux 发行版的基础部分。然后，任何与 XZ 库链接的软件都可以使用这些修改过的代码，并允许截取和修改与该库一起使用的数据。据 Freund 称，在某些条件下，这个后门可以让恶意行为者破坏 sshd 身份验证，从而允许攻击者访问受影响的系统。Freund 还报告说，XZ utils 5.6.0 和 5.6.1 版本也受到影响。Red Hat 在 Fedora 41 和 Fedora Rawhide 中发现了存在漏洞的软件包，建议用户停止使用，直到有更新可用，但 Red Hat Enterprise Linux (RHEL) 仍未受到影响。SUSE 已发布 openSUSE（Tumbleweed 或 MicroOS）的更新。Debian Linux 稳定版是安全的，但测试版、不稳定版和实验版由于软件包受损，需要 xz-utils 更新。在 3 月 26 日至 3 月 29 日期间更新的 Kali Linux 用户需要再次更新以获得修复，而在 3 月 26 日之前更新的用户不受此漏洞影响。不过，正如许多安全研究人员指出的那样，情况仍在发展中，可能会发现更多漏洞。目前还不清楚其有效载荷是什么。美国网络安全和基础设施安全局建议人们降级到未被破坏的 XZ utils 版本，即早于 5.6.0 的版本。安全公司还建议开发人员和用户进行事件响应测试，查看是否受到影响，如果受到影响，则向 CISA 报告。幸运的是，这些受影响的版本似乎并没有被纳入任何主要 Linux 发行版的生产版本中，但安全公司 Analygence 的高级漏洞分析师 Will Dormann 告诉 Ars Technica，这次发现可谓千钧一发。他说："如果没有被发现，这将给世界带来灾难。" ... PC版： 手机版：

xz 开发者植入后门破解 SSH 加密

xz 开发者植入后门破解 SSH 加密 Linux 上广泛使用的无损压缩软件包 xz-utils 被该项目的一位维护者秘密植入了后门，后门旨在绕过签名验证未经授权访问开放 SSH 端口的系统。存在后门的版本是 v5.6.0 和 v5.6.1，后门版本尚未进入 Linux 发行版的生产版本，因此影响范围有限，主要影响的是测试版本的 Debian 和 Red Hat 发行版，以及 Arch 和 openSUSE 等。攻击者被认为处心积虑，潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号，之后积极参与了 xz-utils 的开发，获取信任之后成为了该项目的维护者之一。过去几个月，JiaT75 开始非常巧妙的悄悄加入恶意代码，“分阶段通过添加测试用例数据为掩盖放入了恶意代码，并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本，在库中添加了劫持某 OpenSSL 函数的功能，添加了一个 SSH 后门。”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者，以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug，会导致崩溃等，此人随后与 Linux 开发者们频繁联络通信，试图修复问题，并建议他们发现问题后不要公开。目前 JiaT75 的账号以及 xz-utils 库都已被关闭。来源 ， 频道：@kejiqu 群组：@kejiquchat

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版 本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。这些恶意代码旨在允许未经授权的访问，而且这些受影响的版本已经被多个 Linux 发行版合并，但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题，编号为 ，严重性评分为 10/10 。 xz 是被 Linux 发行版广泛使用的压缩格式之一， xz-utils (LZMA-utils)是一个开源项目，2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码，然后逐步接手该项目成为项目的主要贡献者，也是该项目当前唯一的活跃贡献者。恶意代码经过混淆，只能在完整的下载包中找到，而无法在 Git 发行版中找到，因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ，使攻击者可以使用精心构造的数据跳过 RSA 密钥检验，在未授权情况下授予攻击者不受限制的访问权限。

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招 日前该项目被发现存在后门，这些恶意代码旨在允许未经授权的访问，具体来说影响 xz-utils 5.6.0 和 5.6.1 版中，而且这些受影响的版本已经被多个 Linux 发行版合并。简单来说这是一起供应链投毒事件，攻击者通过上游开源项目投毒，最终随着项目集成影响 Linux 发行版，包括 Fedora Linux 40/41 等操作系统已经确认受该问题影响。恶意代码的目的：RedHat 经过分析后认为，此次黑客添加的恶意代码会通过 systemd 干扰 sshd 的身份验证，SSH 是远程连接系统的常见协议，而 sshd 是允许访问的服务。在适当的情况下，这种干扰可能会让黑客破坏 sshd 的身份验证并获得整个系统的远程未经授权的访问 (无需 SSH 密码或密钥)。RedHat 确认 Fedora Linux 40/41、Fedora Rawhide 受该问题影响，RHEL 不受影响，其他 Linux 发行版应该也受影响，具体用户可以在开发商网站获取信息。建议立即停止使用受影响版本：如果你使用的 Linux 发行版受上述后门程序影响，RedHat 的建议是无论个人还是商用目的，都应该立即停止使用。之后请查询 Linux 发行版的开发商获取安全建议，包括检查和删除后门程序、回滚或更新 xz-utils 等。孤独的开源贡献者问题：在这里还需要额外讨论一个开源项目的问题，xz-utils 尽管被全世界的 Linux 发行版、压缩软件广泛使用，但在之前只有一名活跃的贡献者在维护这个项目。这个孤独的贡献者可能因为精力不够或者其他原因，在遇到一名新的贡献者时，随着时间的推移，在获取信任后，这名新贡献者逐渐获得了项目的更多控制权。实际上这名黑客应该也是精心挑选的项目，知道这种情况下可能更容易获取控制权，于是从 2022 年开始就贡献代码，直到成为主要贡献者后，再实施自己的后门行动。未来这类针对开源项目的供应链攻击应该还会显著增加，这对整个开源社区来说应该都是头疼的问题。 ... PC版： 手机版：

一名志愿者如何阻止恶意后门暴露全球Linux系统

一名志愿者如何阻止恶意后门暴露全球Linux系统 正如Ars Technica在其详尽的回顾中所指出的，罪犯一直在公开进行该项目，潜伏时间已两年有余。这个被植入 Linux 远程登录的漏洞只暴露了自己的一个密钥，因此可以躲过公共计算机的扫描。正如本-汤普森（Ben Thompson）在《战略》（Stratechery）杂志上写道："世界上绝大多数电脑都存在漏洞，却无人知晓"。XZ 后门被发现的故事始于 3 月 29 日凌晨 旧金山的微软开发人员安德烈斯-弗罗因德在 Mastodon 上发帖并向 OpenWall 的安全邮件列表发送了一封电子邮件，标题为"上游 xz/liblzma 中的后门导致 ssh 服务器被入侵"Freund 是 PostgreSQL（一种基于 Linux 的数据库）的"维护者"，他在过去几周的测试中发现了一些奇怪的现象。XZ压缩库的一部分 liblzma 的加密登录占用了大量 CPU。弗罗因德在 Mastodon 上写道，他使用的所有性能工具都没有发现任何问题。这立刻让他产生了怀疑，他想起了几周前一位Postgres用户对Valgrind（Linux检查内存错误的程序）的"奇怪抱怨"。经过一番调查，Freund 最终发现了问题所在。弗罗因德在邮件中指出："上游 xz 代码库和 xz 压缩包都被做了后门。恶意代码存在于 5.6.0 和 5.6.1 版本的 xz 工具和库中。"不久之后，企业级开源软件公司红帽（Red Hat）向 Fedora Rawhide 和 Fedora Linux 40 的用户发出了紧急安全警报。最终，该公司得出结论，Fedora Linux 40 测试版包含两个受影响的 xz 库版本。Fedora Rawhide 版本很可能也收到了 5.6.0 或 5.6.1 版本。请立即停止在工作或个人活动中使用任何 Fedora Rawhide 实例。Fedora Rawhide 将很快恢复到 xz-5.4.x，一旦恢复完成，Fedora Rawhide 实例就可以安全地重新部署了。尽管免费 Linux 发行版 Debian 的一个测试版包含了被破解的软件包，但其安全团队还是迅速采取了行动，将其恢复了原样。"Debian的Salvatore Bonaccorso在周五晚上向用户发出的安全警报中写道："目前还没有Debian稳定版本受到影响。弗罗因德后来确认，提交恶意代码的人是两名主要 xz Utils 开发人员之一，即 JiaT75 或 Jia Tan。"鉴于几周来的活动，提交者要么是直接参与其中，要么是他们的系统受到了相当严重的破坏。"弗罗因德在分析中写道："不幸的是，后者看起来不太可能，因为他们在各种列表上交流了上述'修复'方法。"JiaT75 是一个耳熟能详的名字：他们曾与 .xz 文件格式的原始开发者 Lasse Collin 并肩工作过一段时间。程序员拉斯-考克斯（Russ Cox）在他的事件时间轴页面中指出，2021 年 10 月，JiaT75 开始向 XZ 邮件列表发送看似合法的补丁。几个月后，该计划的其他部分开始展开，另外两个身份，Jigar Kumar 和 Dennis Ens，开始通过电子邮件向科林抱怨漏洞和项目发展缓慢。然而，正如Evan Boehs等人在报告中指出的，"Kumar"和"Ens"从未在 XZ 社区之外出现过，这让调查人员相信这两个人都是假冒的，他们的存在只是为了帮助贾炭就位，以交付被破解的代码。Jigar Kumar"向 XZ Utils 开发商施压，要求其放弃项目控制权的电子邮件"我对你的精神健康问题感到遗憾，但意识到自己的极限很重要。我知道这对所有贡献者来说都是一个业余项目，但社区需要更多。"恩斯在一条信息中写道，而库马尔则在另一条信息中说："在有新的维护者之前，不会有任何进展。"在这来来回回的过程中，柯林斯写道："我并没有失去兴趣，但主要由于长期的精神健康问题，也由于其他一些事情，我的照顾能力受到了相当大的限制"，并建议贾坦承担更大的角色。"他最后说："最好记住，这是一个无偿的业余项目。"来自"Kumar"和"Ens"的邮件持续不断，直到那年晚些时候，Tan 被添加为维护者，能够进行修改，并尝试将 backdoored 软件包以更权威的方式发布到 Linux 发行版中。xz 后门事件及其后果既体现了开放源代码的魅力，也是互联网基础设施中一个引人注目的漏洞。流行的开源媒体软件包 FFmpeg 的开发者在一条推文中强调了这一问题，他说："xz 事件表明，对无偿志愿者的依赖会导致重大问题。价值数万亿美元的公司希望从志愿者那里获得免费的紧急支持"。他们还带来了收据，指出他们是如何处理影响 Microsoft Teams 的"高优先级"漏洞的。"尽管微软依赖其软件，但该开发人员写道："在礼貌地要求微软提供长期维护的支持合同后，他们却提出一次性支付几千美元......维护和可持续发展方面的投资并不性感，可能不会给中层经理带来升职机会，但多年后会得到成千上万倍的回报"。关于"JiaT75"的幕后黑手、他们如何实施计划以及破坏程度的详细信息，正在被一大批开发人员和网络安全专业人员在社交媒体和在线论坛上挖掘出来。但是，这一切都离不开许多因使用安全软件而受益的公司和组织的直接资金支持。 ... PC版： 手机版：