广泛使用的 Linux 实用程序中发现的后门会破坏加密的 SSH 连接

广泛使用的Linux实用程序中发现的后门会破坏加密的SSH连接研究人员在压缩工具中发现了一个恶意后门,该后门已进入广泛使用的Linux发行版,包括来自RedHat和Debian的发行版。据发现该压缩实用程序的开发人员AndresFreund称,名为xzUtils的压缩实用程序在5.6.0和5.6.1版本中引入了恶意代码。目前还没有关于这些版本被合并到主要Linux发行版的任何生产版本中的已知报告,但RedHat和Debian都报告说,最近发布的Beta版本至少使用了一个后门版本,特别是在Fedora40和FedoraRawhide和Debian中测试、不稳定和实验分布。ArchLinux的稳定版本也受到影响。然而,该发行版并未在生产系统中使用。由于该后门是在xzUtils的恶意版本添加到Linux生产版本之前就被发现的,因此“它并没有真正影响现实世界中的任何人”。——

相关推荐

封面图片

广泛使用的实用程序中发现的后门可能导致Linux社区崩溃

广泛使用的实用程序中发现的后门可能导致Linux社区崩溃微软的PostgreSQL开发人员安德烈斯-弗罗因德(AndresFreund)在进行一些例行的微基准测试时,注意到ssh进程出现了600毫秒的小延迟。一波未平一波又起,Freund最终偶然发现了一种供应链攻击,其中涉及XZ软件包中被混淆的恶意代码。他将这一发现发布在开源安全邮件列表上,开源社区从此开始关注这一事件。开发社区迅速揭露了这一攻击是如何被巧妙地注入XZutils的,XZutils是一个小型开源项目,至少自2009年以来一直由一名无偿开发人员维护。与违规提交相关的账户似乎玩起了长线游戏,慢慢赢得了XZ开发人员的信任,这让人们猜测恶意代码的作者是一个老练的攻击者,可能隶属于某个国家机构。该恶意代码的正式名称为CVE-2024-3094,CVSS评分为最高的10分。红帽公司报告说,恶意代码修改了liblzma中的函数,这是一个数据压缩库,是XZutils软件包的一部分,也是几个主要Linux发行版的基础部分。然后,任何与XZ库链接的软件都可以使用这些修改过的代码,并允许截取和修改与该库一起使用的数据。据Freund称,在某些条件下,这个后门可以让恶意行为者破坏sshd身份验证,从而允许攻击者访问受影响的系统。Freund还报告说,XZutils5.6.0和5.6.1版本也受到影响。RedHat在Fedora41和FedoraRawhide中发现了存在漏洞的软件包,建议用户停止使用,直到有更新可用,但RedHatEnterpriseLinux(RHEL)仍未受到影响。SUSE已发布openSUSE(Tumbleweed或MicroOS)的更新。DebianLinux稳定版是安全的,但测试版、不稳定版和实验版由于软件包受损,需要xz-utils更新。在3月26日至3月29日期间更新的KaliLinux用户需要再次更新以获得修复,而在3月26日之前更新的用户不受此漏洞影响。不过,正如许多安全研究人员指出的那样,情况仍在发展中,可能会发现更多漏洞。目前还不清楚其有效载荷是什么。美国网络安全和基础设施安全局建议人们降级到未被破坏的XZutils版本,即早于5.6.0的版本。安全公司还建议开发人员和用户进行事件响应测试,查看是否受到影响,如果受到影响,则向CISA报告。幸运的是,这些受影响的版本似乎并没有被纳入任何主要Linux发行版的生产版本中,但安全公司Analygence的高级漏洞分析师WillDormann告诉ArsTechnica,这次发现可谓千钧一发。他说:"如果没有被发现,这将给世界带来灾难。"...PC版:https://www.cnbeta.com.tw/articles/soft/1425712.htm手机版:https://m.cnbeta.com.tw/view/1425712.htm

封面图片

xz 开发者植入后门破解 SSH 加密

xz开发者植入后门破解SSH加密Linux上广泛使用的无损压缩软件包xz-utils被该项目的一位维护者秘密植入了后门,后门旨在绕过签名验证未经授权访问开放SSH端口的系统。存在后门的版本是v5.6.0和v5.6.1,后门版本尚未进入Linux发行版的生产版本,因此影响范围有限,主要影响的是测试版本的Debian和RedHat发行版,以及Arch和openSUSE等。攻击者被认为处心积虑,潜伏长达三年时间。使用中文拼音的攻击者JiaT75(JiaTan)于2021年创建了GitHub账号,之后积极参与了xz-utils的开发,获取信任之后成为了该项目的维护者之一。过去几个月,JiaT75开始非常巧妙的悄悄加入恶意代码,“分阶段通过添加测试用例数据为掩盖放入了恶意代码,并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本,在库中添加了劫持某OpenSSL函数的功能,添加了一个SSH后门。”创建后门版本之后JiaT75还积极联络主要Linux发行版维护者,以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在bug,会导致崩溃等,此人随后与Linux开发者们频繁联络通信,试图修复问题,并建议他们发现问题后不要公开。目前JiaT75的账号以及xz-utils库都已被关闭。来源,频道:@kejiqu群组:@kejiquchat

封面图片

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版

黑客潜伏两年后向xz-utils添加后门影响多个Linux发行版本周五RedHat警告用户在最新版本的xz-utils数据压缩工具和库中发现了一个后门。这些恶意代码旨在允许未经授权的访问,而且这些受影响的版本已经被多个Linux发行版合并,但RHEL不受此影响。RedHat目前正在跟踪此供应链安全问题,编号为,严重性评分为10/10。xz是被Linux发行版广泛使用的压缩格式之一,xz-utils(LZMA-utils)是一个开源项目,2022年起有个名为JiaTan的账号开始向该项目贡献代码,然后逐步接手该项目成为项目的主要贡献者,也是该项目当前唯一的活跃贡献者。恶意代码经过混淆,只能在完整的下载包中找到,而无法在Git发行版中找到,因为缺少触发后门构建过程的M4宏。该恶意代码会修改系统中的OpenSSH,使攻击者可以使用精心构造的数据跳过RSA密钥检验,在未授权情况下授予攻击者不受限制的访问权限。——

封面图片

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招

心机黑客潜伏两年后向xz-utils添加后门多个Linux发行版中招日前该项目被发现存在后门,这些恶意代码旨在允许未经授权的访问,具体来说影响xz-utils5.6.0和5.6.1版中,而且这些受影响的版本已经被多个Linux发行版合并。简单来说这是一起供应链投毒事件,攻击者通过上游开源项目投毒,最终随着项目集成影响Linux发行版,包括FedoraLinux40/41等操作系统已经确认受该问题影响。恶意代码的目的:RedHat经过分析后认为,此次黑客添加的恶意代码会通过systemd干扰sshd的身份验证,SSH是远程连接系统的常见协议,而sshd是允许访问的服务。在适当的情况下,这种干扰可能会让黑客破坏sshd的身份验证并获得整个系统的远程未经授权的访问(无需SSH密码或密钥)。RedHat确认FedoraLinux40/41、FedoraRawhide受该问题影响,RHEL不受影响,其他Linux发行版应该也受影响,具体用户可以在开发商网站获取信息。建议立即停止使用受影响版本:如果你使用的Linux发行版受上述后门程序影响,RedHat的建议是无论个人还是商用目的,都应该立即停止使用。之后请查询Linux发行版的开发商获取安全建议,包括检查和删除后门程序、回滚或更新xz-utils等。孤独的开源贡献者问题:在这里还需要额外讨论一个开源项目的问题,xz-utils尽管被全世界的Linux发行版、压缩软件广泛使用,但在之前只有一名活跃的贡献者在维护这个项目。这个孤独的贡献者可能因为精力不够或者其他原因,在遇到一名新的贡献者时,随着时间的推移,在获取信任后,这名新贡献者逐渐获得了项目的更多控制权。实际上这名黑客应该也是精心挑选的项目,知道这种情况下可能更容易获取控制权,于是从2022年开始就贡献代码,直到成为主要贡献者后,再实施自己的后门行动。未来这类针对开源项目的供应链攻击应该还会显著增加,这对整个开源社区来说应该都是头疼的问题。...PC版:https://www.cnbeta.com.tw/articles/soft/1425585.htm手机版:https://m.cnbeta.com.tw/view/1425585.htm

封面图片

微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答

微软发布有关Linux系统XZUtils漏洞的详细常见问题解答微软的回应包括针对受此漏洞影响的用户的关键建议。该公司建议将XZUtils降级到安全版本,并使用MicrosoftDefenderVulnerabilityManagement和DefenderforCloud。该漏洞是微软员工AndresFreund在调查Debian系统SSH性能问题时"意外"发现的。弗罗因德注意到与XZUtils更新相关的异常行为,从而发现了XZUtils5.6.0和5.6.1版本中故意植入的后门。该后门允许拥有正确私钥的攻击者利用SSH操作,授予他们对系统的root访问权限。后门通过五级加载器操作,操纵函数解析过程,使攻击者能够远程执行任意命令。以下是受该漏洞影响的Linux发行版:FedoraRawhidehttps://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersFedora41https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersDebian测试版、不稳定版和实验版5.5.1alpha-0.1至5.6.1-1。https://lists.debian.org/debian-security-announce/2024/msg00057.htmlopenSUSETumbleweed和openSUSEMicroOShttps://news.opensuse.org/2024/03/29/xz-backdoor/KaliLinuxhttps://www.kali.org/blog/about-the-xz-backdoor/值得注意的是,红帽企业Linux(RHEL)版本不受影响。最流行的Linux发行版之一Ubuntu也没有受到影响,因为它使用的是XZUtils的旧版本5.4。除上述步骤外,还可检查您的Linux系统是否受该漏洞影响、在终端中运行xz--version命令,检查系统中安装的XZUtils版本。如果输出显示版本等于5.6.0或5.6.1,则系统可能存在漏洞。如果您的系统正在运行易受攻击的XZUtils版本,请立即采取行动更新系统,尤其是在使用基于.deb或.rpm的glibc发行版的情况下。优先更新在公开访问的SSH端口上使用systemd的系统,以降低直接风险。如果怀疑自己的系统可能已被入侵,还可以查看审计日志,查找任何可能表明存在未经授权访问或异常活动的异常情况。要了解微软的建议和详细的常见问题,请访问此处的微软技术社区页面。...PC版:https://www.cnbeta.com.tw/articles/soft/1425901.htm手机版:https://m.cnbeta.com.tw/view/1425901.htm

封面图片

重要/漏洞:主流Linux发行版本存在本地提权漏洞“Looney Tunables” ,攻击者可通过 GNU C 库获得 roo

重要/漏洞:主流Linux发行版本存在本地提权漏洞“LooneyTunables”,攻击者可通过GNUC库获得root权限漏洞编号:CVE-2023-4911重要等级:重要影响版本:GLIBC2.34原理:Linux的主流发行版本中存在一个名为“LooneyTunables”的本地提权漏洞。攻击者可以通过此漏洞利用GNUC库获得root权限。该问题主要源于GNUC库的动态加载器ld.so,当处理GLIBC_TUNABLES环境变量时,可能会发生缓冲区溢出。本地攻击者可以在启动具有SUID权限的二进制文件时,通过恶意设置的GLIBC_TUNABLES环境变量执行提权代码。此漏洞首次出现在glibc版本2.34处置建议:CVE-2023-4911已在上游glibc中得到修复,Linux发行商正在陆续更新修复这个问题,普通用户应当尽快更新补充:大量流行的Linux发行版上使用了GNUC库同时将GLIBC2.34作为默认安装的版本,包括Ubuntu、RedHat、Debian、Fedora、Gentoo都受到此问题影响,但是某些发行版(如AlpineLinux)由于使用musllibc而不是glibc而被豁免。相关资料:

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人