XZ-Utils 5.6.0/5.6.1版本后门风险 (CVE-2024-3094) 高危

XZ-Utils5.6.0/5.6.1版本后门风险(CVE-2024-3094)高危XZ-Utils是Linux、Unix等POSIX兼容系统中处理.xz文件的常见套件。攻击者污染了上游Git仓库的build-to-host.m4构建脚本和测试用例，在编译期间向liblzma注入攻击代码。部分发行版的OpenSSHServer链接到libsystemd，而libsystemd依赖liblzma。因此您的sshd会执行被植入后门的代码。(简易排查方式)在Linux/Unix命令行输入xz--version如果输出为5.6.0或5.6.1，说明您的系统已被植入后门，非x64(amd64)架构的系统不受影响。线索：@ZaiHuabot投稿：@TNSubmbot频道：@TestFlightCN

微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答

微软发布有关Linux系统XZUtils漏洞的详细常见问题解答微软的回应包括针对受此漏洞影响的用户的关键建议。该公司建议将XZUtils降级到安全版本，并使用MicrosoftDefenderVulnerabilityManagement和DefenderforCloud。该漏洞是微软员工AndresFreund在调查Debian系统SSH性能问题时"意外"发现的。弗罗因德注意到与XZUtils更新相关的异常行为，从而发现了XZUtils5.6.0和5.6.1版本中故意植入的后门。该后门允许拥有正确私钥的攻击者利用SSH操作，授予他们对系统的root访问权限。后门通过五级加载器操作，操纵函数解析过程，使攻击者能够远程执行任意命令。以下是受该漏洞影响的Linux发行版：FedoraRawhidehttps://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersFedora41https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersDebian测试版、不稳定版和实验版5.5.1alpha-0.1至5.6.1-1。https://lists.debian.org/debian-security-announce/2024/msg00057.htmlopenSUSETumbleweed和openSUSEMicroOShttps://news.opensuse.org/2024/03/29/xz-backdoor/KaliLinuxhttps://www.kali.org/blog/about-the-xz-backdoor/值得注意的是，红帽企业Linux（RHEL）版本不受影响。最流行的Linux发行版之一Ubuntu也没有受到影响，因为它使用的是XZUtils的旧版本5.4。除上述步骤外，还可检查您的Linux系统是否受该漏洞影响、在终端中运行xz--version命令，检查系统中安装的XZUtils版本。如果输出显示版本等于5.6.0或5.6.1，则系统可能存在漏洞。如果您的系统正在运行易受攻击的XZUtils版本，请立即采取行动更新系统，尤其是在使用基于.deb或.rpm的glibc发行版的情况下。优先更新在公开访问的SSH端口上使用systemd的系统，以降低直接风险。如果怀疑自己的系统可能已被入侵，还可以查看审计日志，查找任何可能表明存在未经授权访问或异常活动的异常情况。要了解微软的建议和详细的常见问题，请访问此处的微软技术社区页面。...PC版：https://www.cnbeta.com.tw/articles/soft/1425901.htm手机版：https://m.cnbeta.com.tw/view/1425901.htm

xz 开发者植入后门破解 SSH 加密

xz开发者植入后门破解SSH加密Linux上广泛使用的无损压缩软件包xz-utils被该项目的一位维护者秘密植入了后门，后门旨在绕过签名验证未经授权访问开放SSH端口的系统。存在后门的版本是v5.6.0和v5.6.1，后门版本尚未进入Linux发行版的生产版本，因此影响范围有限，主要影响的是测试版本的Debian和RedHat发行版，以及Arch和openSUSE等。攻击者被认为处心积虑，潜伏长达三年时间。使用中文拼音的攻击者JiaT75(JiaTan)于2021年创建了GitHub账号，之后积极参与了xz-utils的开发，获取信任之后成为了该项目的维护者之一。过去几个月，JiaT75开始非常巧妙的悄悄加入恶意代码，“分阶段通过添加测试用例数据为掩盖放入了恶意代码，并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本，在库中添加了劫持某OpenSSL函数的功能，添加了一个SSH后门。”创建后门版本之后JiaT75还积极联络主要Linux发行版维护者，以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在bug，会导致崩溃等，此人随后与Linux开发者们频繁联络通信，试图修复问题，并建议他们发现问题后不要公开。目前JiaT75的账号以及xz-utils库都已被关闭。来源，频道：@kejiqu群组：@kejiquchat

一名志愿者如何阻止恶意后门暴露全球Linux系统

一名志愿者如何阻止恶意后门暴露全球Linux系统正如ArsTechnica在其详尽的回顾中所指出的，罪犯一直在公开进行该项目，潜伏时间已两年有余。这个被植入Linux远程登录的漏洞只暴露了自己的一个密钥，因此可以躲过公共计算机的扫描。正如本-汤普森（BenThompson）在《战略》（Stratechery）杂志上写道："世界上绝大多数电脑都存在漏洞，却无人知晓"。XZ后门被发现的故事始于3月29日凌晨旧金山的微软开发人员安德烈斯-弗罗因德在Mastodon上发帖并向OpenWall的安全邮件列表发送了一封电子邮件，标题为"上游xz/liblzma中的后门导致ssh服务器被入侵"Freund是PostgreSQL（一种基于Linux的数据库）的"维护者"，他在过去几周的测试中发现了一些奇怪的现象。XZ压缩库的一部分liblzma的加密登录占用了大量CPU。弗罗因德在Mastodon上写道，他使用的所有性能工具都没有发现任何问题。这立刻让他产生了怀疑，他想起了几周前一位Postgres用户对Valgrind（Linux检查内存错误的程序）的"奇怪抱怨"。经过一番调查，Freund最终发现了问题所在。弗罗因德在邮件中指出："上游xz代码库和xz压缩包都被做了后门。恶意代码存在于5.6.0和5.6.1版本的xz工具和库中。"不久之后，企业级开源软件公司红帽（RedHat）向FedoraRawhide和FedoraLinux40的用户发出了紧急安全警报。最终，该公司得出结论，FedoraLinux40测试版包含两个受影响的xz库版本。FedoraRawhide版本很可能也收到了5.6.0或5.6.1版本。请立即停止在工作或个人活动中使用任何FedoraRawhide实例。FedoraRawhide将很快恢复到xz-5.4.x，一旦恢复完成，FedoraRawhide实例就可以安全地重新部署了。尽管免费Linux发行版Debian的一个测试版包含了被破解的软件包，但其安全团队还是迅速采取了行动，将其恢复了原样。"Debian的SalvatoreBonaccorso在周五晚上向用户发出的安全警报中写道："目前还没有Debian稳定版本受到影响。弗罗因德后来确认，提交恶意代码的人是两名主要xzUtils开发人员之一，即JiaT75或JiaTan。"鉴于几周来的活动，提交者要么是直接参与其中，要么是他们的系统受到了相当严重的破坏。"弗罗因德在分析中写道："不幸的是，后者看起来不太可能，因为他们在各种列表上交流了上述'修复'方法。"JiaT75是一个耳熟能详的名字：他们曾与.xz文件格式的原始开发者LasseCollin并肩工作过一段时间。程序员拉斯-考克斯（RussCox）在他的事件时间轴页面中指出，2021年10月，JiaT75开始向XZ邮件列表发送看似合法的补丁。几个月后，该计划的其他部分开始展开，另外两个身份，JigarKumar和DennisEns，开始通过电子邮件向科林抱怨漏洞和项目发展缓慢。然而，正如EvanBoehs等人在报告中指出的，"Kumar"和"Ens"从未在XZ社区之外出现过，这让调查人员相信这两个人都是假冒的，他们的存在只是为了帮助贾炭就位，以交付被破解的代码。JigarKumar"向XZUtils开发商施压，要求其放弃项目控制权的电子邮件"我对你的精神健康问题感到遗憾，但意识到自己的极限很重要。我知道这对所有贡献者来说都是一个业余项目，但社区需要更多。"恩斯在一条信息中写道，而库马尔则在另一条信息中说："在有新的维护者之前，不会有任何进展。"在这来来回回的过程中，柯林斯写道："我并没有失去兴趣，但主要由于长期的精神健康问题，也由于其他一些事情，我的照顾能力受到了相当大的限制"，并建议贾坦承担更大的角色。"他最后说："最好记住，这是一个无偿的业余项目。"来自"Kumar"和"Ens"的邮件持续不断，直到那年晚些时候，Tan被添加为维护者，能够进行修改，并尝试将backdoored软件包以更权威的方式发布到Linux发行版中。xz后门事件及其后果既体现了开放源代码的魅力，也是互联网基础设施中一个引人注目的漏洞。流行的开源媒体软件包FFmpeg的开发者在一条推文中强调了这一问题，他说："xz事件表明，对无偿志愿者的依赖会导致重大问题。价值数万亿美元的公司希望从志愿者那里获得免费的紧急支持"。他们还带来了收据，指出他们是如何处理影响MicrosoftTeams的"高优先级"漏洞的。"尽管微软依赖其软件，但该开发人员写道："在礼貌地要求微软提供长期维护的支持合同后，他们却提出一次性支付几千美元......维护和可持续发展方面的投资并不性感，可能不会给中层经理带来升职机会，但多年后会得到成千上万倍的回报"。关于"JiaT75"的幕后黑手、他们如何实施计划以及破坏程度的详细信息，正在被一大批开发人员和网络安全专业人员在社交媒体和在线论坛上挖掘出来。但是，这一切都离不开许多因使用安全软件而受益的公司和组织的直接资金支持。...PC版：https://www.cnbeta.com.tw/articles/soft/1426014.htm手机版：https://m.cnbeta.com.tw/view/1426014.htm

XZ 发布 5.6.2 ，已移除先前后门代码

XZ发布5.6.2，已移除先前后门代码两个月前，XZ发布了紧急安全警报，指出liblzma中被植入了恶意代码，这是由一名不法分子通过混入XZ共同维护团队而添加的后门。XZ的长期开发者LasseCollin回归并重新掌舵，对之前的XZ提交进行了审计，并于今日发布了完全移除了后门的XZ5.6.2。LasseCollin今天发布的XZ5.6.2版本，已经清除了之前v5.6和v5.6.1版本中存在的CVE-2024-3094后门。截至目前XZ后门事件仍在调查中LasseCollin还宣布，SamJames将成为XZ项目未来的支持维护者。XZ5.6.2发布版本还包括一些错误修复、对最新NVIDIAHPCSDK（编译器）的构建修复，以及移除了GNU间接函数（IFUNC）支持。IFUNC支持曾被XZ后门利用，但移除此代码的原因是使用它带来的性能提升微乎其微，同时增加了很大的复杂性。今天还发布了包含各种错误修复的XZ5.4.7和XZ5.2.13，但只有XZ5.6系列受到了后门事件的影响。消息来源:Xz项目地址:

XZ 5.6.2 释出，移除后门代码

XZ5.6.2释出，移除后门代码https://www.solidot.org/story?sid=78307https://www.phoronix.com/news/XZ-5.6.2-Released（英文）引发广泛关注的XZ后门事件两个月之后，项目维护者LasseCollin释出了新版本XZ5.6.2，移除了v5.6和v5.6.1中的后门代码CVE-2024-3094。他同时宣布了一位支持维护者SamJames。对XZ后门事件的调查仍然在进行之中。XZ5.6.2还修复了一系列bug，包括修复了用最新NVIDIAHPCSDK构建的问题，移除GNUIndirectFunction(IFUNC)支持，XZ后门代码使用了IFUNC支持，但移除主要是因为性能优势太小但复杂性大幅增加。（全文完）