黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版 本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。这些恶意代码旨在允许未经授权的访问，而且这些受影响的版本已经被多个 Linux 发行版合并，但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题，编号为 ，严重性评分为 10/10 。 xz 是被 Linux 发行版广泛使用的压缩格式之一， xz-utils (LZMA-utils)是一个开源项目，2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码，然后逐步接手该项目成为项目的主要贡献者，也是该项目当前唯一的活跃贡献者。恶意代码经过混淆，只能在完整的下载包中找到，而无法在 Git 发行版中找到，因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ，使攻击者可以使用精心构造的数据跳过 RSA 密钥检验，在未授权情况下授予攻击者不受限制的访问权限。

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招 日前该项目被发现存在后门，这些恶意代码旨在允许未经授权的访问，具体来说影响 xz-utils 5.6.0 和 5.6.1 版中，而且这些受影响的版本已经被多个 Linux 发行版合并。简单来说这是一起供应链投毒事件，攻击者通过上游开源项目投毒，最终随着项目集成影响 Linux 发行版，包括 Fedora Linux 40/41 等操作系统已经确认受该问题影响。恶意代码的目的：RedHat 经过分析后认为，此次黑客添加的恶意代码会通过 systemd 干扰 sshd 的身份验证，SSH 是远程连接系统的常见协议，而 sshd 是允许访问的服务。在适当的情况下，这种干扰可能会让黑客破坏 sshd 的身份验证并获得整个系统的远程未经授权的访问 (无需 SSH 密码或密钥)。RedHat 确认 Fedora Linux 40/41、Fedora Rawhide 受该问题影响，RHEL 不受影响，其他 Linux 发行版应该也受影响，具体用户可以在开发商网站获取信息。建议立即停止使用受影响版本：如果你使用的 Linux 发行版受上述后门程序影响，RedHat 的建议是无论个人还是商用目的，都应该立即停止使用。之后请查询 Linux 发行版的开发商获取安全建议，包括检查和删除后门程序、回滚或更新 xz-utils 等。孤独的开源贡献者问题：在这里还需要额外讨论一个开源项目的问题，xz-utils 尽管被全世界的 Linux 发行版、压缩软件广泛使用，但在之前只有一名活跃的贡献者在维护这个项目。这个孤独的贡献者可能因为精力不够或者其他原因，在遇到一名新的贡献者时，随着时间的推移，在获取信任后，这名新贡献者逐渐获得了项目的更多控制权。实际上这名黑客应该也是精心挑选的项目，知道这种情况下可能更容易获取控制权，于是从 2022 年开始就贡献代码，直到成为主要贡献者后，再实施自己的后门行动。未来这类针对开源项目的供应链攻击应该还会显著增加，这对整个开源社区来说应该都是头疼的问题。 ... PC版： 手机版：

微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答

微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答 微软的回应包括针对受此漏洞影响的用户的关键建议。该公司建议将 XZ Utils 降级到安全版本，并使用 Microsoft Defender Vulnerability Management 和 Defender for Cloud。该漏洞是微软员工Andres Freund 在调查 Debian 系统 SSH 性能问题时 "意外 "发现的。弗罗因德注意到与 XZ Utils 更新相关的异常行为，从而发现了 XZ Utils 5.6.0 和 5.6.1 版本中故意植入的后门。该后门允许拥有正确私钥的攻击者利用 SSH 操作，授予他们对系统的 root 访问权限。后门通过五级加载器操作，操纵函数解析过程，使攻击者能够远程执行任意命令。以下是受该漏洞影响的 Linux 发行版：Fedora Rawhidehttps://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersFedora 41 测试版、不稳定版和实验版 5.5.1alpha-0.1 至 5.6.1-1。https:// Tumbleweed 和 openSUSE MicroOShttps://news.opensuse.org/2024/03/29/xz-backdoor/Kali Linuxhttps://www.kali.org/blog/about-the-xz-backdoor/值得注意的是，红帽企业 Linux（RHEL）版本不受影响。最流行的 Linux 发行版之一 Ubuntu 也没有受到影响，因为它使用的是 XZ Utils 的旧版本 5.4。除上述步骤外，还可检查您的 Linux 系统是否受该漏洞影响、在终端中运行 xz version 命令，检查系统中安装的 XZ Utils 版本。如果输出显示版本等于 5.6.0 或 5.6.1，则系统可能存在漏洞。如果您的系统正在运行易受攻击的 XZ Utils 版本，请立即采取行动更新系统，尤其是在使用基于 .deb 或 .rpm 的 glibc 发行版的情况下。优先更新在公开访问的 SSH 端口上使用 systemd 的系统，以降低直接风险。如果怀疑自己的系统可能已被入侵，还可以查看审计日志，查找任何可能表明存在未经授权访问或异常活动的异常情况。要了解微软的建议和详细的常见问题，请访问此处的微软技术社区页面。 ... PC版： 手机版：

XZ 维护者之一 Jia Tan 在 GitHub 上发布的 XZ Utils 5.6.0 and 5.6.1 tarball

XZ 维护者之一 Jia Tan 在 GitHub 上发布的 XZ Utils 5.6.0 and 5.6.1 tarball 中包含了恶意后门代码。 如非特别标注，以下链接中内容均为英文。 ==== XZ 方面的信息，以及漏洞分析 ==== oss-security 邮件列表: debian-security-announce 邮件列表: XZ 主要维护者 Lasse Collin 的声明: FAQ by Sam James: Evan Boehs 的博客: Filippo Valsorda: Gynvael Coldwind: RHEA 关于时区的分析: ==== 新闻报道 ==== LWN: ==== 供应商方面的信息，主要是各大发行版和安全公告板 ==== CVE: NVD: MSRC: GitHub Advisory Database: Red Hat Customer Portal: Red Hat Blog: Red Hat Bugzilla: Debian Security Bug Tracker: Debian Bug: Kali Linux Blog: SUSE blog: SUSE Security: SUSE Bugzilla: openSUSE News: Gentoo's Bugzilla: Arch Linux News: Arch Linux Advisories: OpenWrt: ==== 忙着查资料的被子饼 ==== 目前的证据表明这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本，且均已发布回退更新 目前确定曾受影响的发行版： Debian unstable/testing/experimental between 2024-02-01 and 2024-03-29 Kali Linux between 2024-03-26 and 2024-03-29 Ubuntu noble-proposed/noble-release between 2024-02-26 and 2024-03-29 Fedora 40/41(Rawhide) between 2024-02-27 and 2024-03-29 openSUSE Tumbleweed/MicroOS between 2024-03-07 and 2024-03-28

XZ 5.6.2 释出，移除后门代码

XZ 5.6.2 释出，移除后门代码 （英文） 引发广泛关注的 XZ 后门事件两个月之后，项目维护者 Lasse Collin 释出了新版本 XZ 5.6.2，移除了 v5.6 和 v5.6.1 中的后门代码 CVE-2024-3094。他同时宣布了一位支持维护者 Sam James。对 XZ 后门事件的调查仍然在进行之中。XZ 5.6.2 还修复了一系列 bug，包括修复了用最新 NVIDIA HPC SDK 构建的问题，移除 GNU Indirect Function(IFUNC)支持，XZ 后门代码使用了 IFUNC 支持，但移除主要是因为性能优势太小但复杂性大幅增加。（全文完）

XZ 发布 5.6.2 ，已移除先前后门代码

XZ 发布 5.6.2 ，已移除先前后门代码 两个月前，XZ 发布了紧急安全警报，指出 liblzma 中被植入了恶意代码，这是由一名不法分子通过混入 XZ 共同维护团队而添加的后门。XZ 的长期开发者 Lasse Collin 回归并重新掌舵，对之前的 XZ 提交进行了审计，并于今日发布了完全移除了后门的 XZ 5.6.2。 Lasse Collin 今天发布的 XZ 5.6.2 版本，已经清除了之前 v5.6 和 v5.6.1 版本中存在的 CVE-2024-3094 后门。 截至目前 XZ 后门事件仍在调查中 Lasse Collin 还宣布，Sam James 将成为 XZ 项目未来的支持维护者。 XZ 5.6.2 发布版本还包括一些错误修复、对最新 NVIDIA HPC SDK（编译器）的构建修复，以及移除了 GNU 间接函数（IFUNC）支持。IFUNC 支持曾被 XZ 后门利用，但移除此代码的原因是使用它带来的性能提升微乎其微，同时增加了很大的复杂性。今天还发布了包含各种错误修复的 XZ 5.4.7 和 XZ 5.2.13，但只有 XZ 5.6 系列受到了后门事件的影响。 消息来源: Xz项目地址: