广泛使用的实用程序中发现的后门可能导致Linux社区崩溃
广泛使用的实用程序中发现的后门可能导致Linux社区崩溃微软的PostgreSQL开发人员安德烈斯-弗罗因德(AndresFreund)在进行一些例行的微基准测试时,注意到ssh进程出现了600毫秒的小延迟。一波未平一波又起,Freund最终偶然发现了一种供应链攻击,其中涉及XZ软件包中被混淆的恶意代码。他将这一发现发布在开源安全邮件列表上,开源社区从此开始关注这一事件。开发社区迅速揭露了这一攻击是如何被巧妙地注入XZutils的,XZutils是一个小型开源项目,至少自2009年以来一直由一名无偿开发人员维护。与违规提交相关的账户似乎玩起了长线游戏,慢慢赢得了XZ开发人员的信任,这让人们猜测恶意代码的作者是一个老练的攻击者,可能隶属于某个国家机构。该恶意代码的正式名称为CVE-2024-3094,CVSS评分为最高的10分。红帽公司报告说,恶意代码修改了liblzma中的函数,这是一个数据压缩库,是XZutils软件包的一部分,也是几个主要Linux发行版的基础部分。然后,任何与XZ库链接的软件都可以使用这些修改过的代码,并允许截取和修改与该库一起使用的数据。据Freund称,在某些条件下,这个后门可以让恶意行为者破坏sshd身份验证,从而允许攻击者访问受影响的系统。Freund还报告说,XZutils5.6.0和5.6.1版本也受到影响。RedHat在Fedora41和FedoraRawhide中发现了存在漏洞的软件包,建议用户停止使用,直到有更新可用,但RedHatEnterpriseLinux(RHEL)仍未受到影响。SUSE已发布openSUSE(Tumbleweed或MicroOS)的更新。DebianLinux稳定版是安全的,但测试版、不稳定版和实验版由于软件包受损,需要xz-utils更新。在3月26日至3月29日期间更新的KaliLinux用户需要再次更新以获得修复,而在3月26日之前更新的用户不受此漏洞影响。不过,正如许多安全研究人员指出的那样,情况仍在发展中,可能会发现更多漏洞。目前还不清楚其有效载荷是什么。美国网络安全和基础设施安全局建议人们降级到未被破坏的XZutils版本,即早于5.6.0的版本。安全公司还建议开发人员和用户进行事件响应测试,查看是否受到影响,如果受到影响,则向CISA报告。幸运的是,这些受影响的版本似乎并没有被纳入任何主要Linux发行版的生产版本中,但安全公司Analygence的高级漏洞分析师WillDormann告诉ArsTechnica,这次发现可谓千钧一发。他说:"如果没有被发现,这将给世界带来灾难。"...PC版:https://www.cnbeta.com.tw/articles/soft/1425712.htm手机版:https://m.cnbeta.com.tw/view/1425712.htm
