心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招

心机黑客潜伏两年后向xz-utils添加后门多个Linux发行版中招日前该项目被发现存在后门，这些恶意代码旨在允许未经授权的访问，具体来说影响xz-utils5.6.0和5.6.1版中，而且这些受影响的版本已经被多个Linux发行版合并。简单来说这是一起供应链投毒事件，攻击者通过上游开源项目投毒，最终随着项目集成影响Linux发行版，包括FedoraLinux40/41等操作系统已经确认受该问题影响。恶意代码的目的：RedHat经过分析后认为，此次黑客添加的恶意代码会通过systemd干扰sshd的身份验证，SSH是远程连接系统的常见协议，而sshd是允许访问的服务。在适当的情况下，这种干扰可能会让黑客破坏sshd的身份验证并获得整个系统的远程未经授权的访问(无需SSH密码或密钥)。RedHat确认FedoraLinux40/41、FedoraRawhide受该问题影响，RHEL不受影响，其他Linux发行版应该也受影响，具体用户可以在开发商网站获取信息。建议立即停止使用受影响版本：如果你使用的Linux发行版受上述后门程序影响，RedHat的建议是无论个人还是商用目的，都应该立即停止使用。之后请查询Linux发行版的开发商获取安全建议，包括检查和删除后门程序、回滚或更新xz-utils等。孤独的开源贡献者问题：在这里还需要额外讨论一个开源项目的问题，xz-utils尽管被全世界的Linux发行版、压缩软件广泛使用，但在之前只有一名活跃的贡献者在维护这个项目。这个孤独的贡献者可能因为精力不够或者其他原因，在遇到一名新的贡献者时，随着时间的推移，在获取信任后，这名新贡献者逐渐获得了项目的更多控制权。实际上这名黑客应该也是精心挑选的项目，知道这种情况下可能更容易获取控制权，于是从2022年开始就贡献代码，直到成为主要贡献者后，再实施自己的后门行动。未来这类针对开源项目的供应链攻击应该还会显著增加，这对整个开源社区来说应该都是头疼的问题。...PC版：https://www.cnbeta.com.tw/articles/soft/1425585.htm手机版：https://m.cnbeta.com.tw/view/1425585.htm

xz 开发者植入后门破解 SSH 加密

xz开发者植入后门破解SSH加密Linux上广泛使用的无损压缩软件包xz-utils被该项目的一位维护者秘密植入了后门，后门旨在绕过签名验证未经授权访问开放SSH端口的系统。存在后门的版本是v5.6.0和v5.6.1，后门版本尚未进入Linux发行版的生产版本，因此影响范围有限，主要影响的是测试版本的Debian和RedHat发行版，以及Arch和openSUSE等。攻击者被认为处心积虑，潜伏长达三年时间。使用中文拼音的攻击者JiaT75(JiaTan)于2021年创建了GitHub账号，之后积极参与了xz-utils的开发，获取信任之后成为了该项目的维护者之一。过去几个月，JiaT75开始非常巧妙的悄悄加入恶意代码，“分阶段通过添加测试用例数据为掩盖放入了恶意代码，并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本，在库中添加了劫持某OpenSSL函数的功能，添加了一个SSH后门。”创建后门版本之后JiaT75还积极联络主要Linux发行版维护者，以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在bug，会导致崩溃等，此人随后与Linux开发者们频繁联络通信，试图修复问题，并建议他们发现问题后不要公开。目前JiaT75的账号以及xz-utils库都已被关闭。来源，频道：@kejiqu群组：@kejiquchat

XZ-Utils 5.6.0/5.6.1版本后门风险 (CVE-2024-3094) 高危

XZ-Utils5.6.0/5.6.1版本后门风险(CVE-2024-3094)高危XZ-Utils是Linux、Unix等POSIX兼容系统中处理.xz文件的常见套件。攻击者污染了上游Git仓库的build-to-host.m4构建脚本和测试用例，在编译期间向liblzma注入攻击代码。部分发行版的OpenSSHServer链接到libsystemd，而libsystemd依赖liblzma。因此您的sshd会执行被植入后门的代码。(简易排查方式)在Linux/Unix命令行输入xz--version如果输出为5.6.0或5.6.1，说明您的系统已被植入后门，非x64(amd64)架构的系统不受影响。线索：@ZaiHuabot投稿：@TNSubmbot频道：@TestFlightCN

广泛使用的 Linux 实用程序中发现的后门会破坏加密的 SSH 连接

广泛使用的Linux实用程序中发现的后门会破坏加密的SSH连接研究人员在压缩工具中发现了一个恶意后门，该后门已进入广泛使用的Linux发行版，包括来自RedHat和Debian的发行版。据发现该压缩实用程序的开发人员AndresFreund称，名为xzUtils的压缩实用程序在5.6.0和5.6.1版本中引入了恶意代码。目前还没有关于这些版本被合并到主要Linux发行版的任何生产版本中的已知报告，但RedHat和Debian都报告说，最近发布的Beta版本至少使用了一个后门版本，特别是在Fedora40和FedoraRawhide和Debian中测试、不稳定和实验分布。ArchLinux的稳定版本也受到影响。然而，该发行版并未在生产系统中使用。由于该后门是在xzUtils的恶意版本添加到Linux生产版本之前就被发现的，因此“它并没有真正影响现实世界中的任何人”。——

XZ 发布 5.6.2 ，已移除先前后门代码

XZ发布5.6.2，已移除先前后门代码两个月前，XZ发布了紧急安全警报，指出liblzma中被植入了恶意代码，这是由一名不法分子通过混入XZ共同维护团队而添加的后门。XZ的长期开发者LasseCollin回归并重新掌舵，对之前的XZ提交进行了审计，并于今日发布了完全移除了后门的XZ5.6.2。LasseCollin今天发布的XZ5.6.2版本，已经清除了之前v5.6和v5.6.1版本中存在的CVE-2024-3094后门。截至目前XZ后门事件仍在调查中LasseCollin还宣布，SamJames将成为XZ项目未来的支持维护者。XZ5.6.2发布版本还包括一些错误修复、对最新NVIDIAHPCSDK（编译器）的构建修复，以及移除了GNU间接函数（IFUNC）支持。IFUNC支持曾被XZ后门利用，但移除此代码的原因是使用它带来的性能提升微乎其微，同时增加了很大的复杂性。今天还发布了包含各种错误修复的XZ5.4.7和XZ5.2.13，但只有XZ5.6系列受到了后门事件的影响。消息来源:Xz项目地址:

广泛使用的实用程序中发现的后门可能导致Linux社区崩溃

广泛使用的实用程序中发现的后门可能导致Linux社区崩溃微软的PostgreSQL开发人员安德烈斯-弗罗因德（AndresFreund）在进行一些例行的微基准测试时，注意到ssh进程出现了600毫秒的小延迟。一波未平一波又起，Freund最终偶然发现了一种供应链攻击，其中涉及XZ软件包中被混淆的恶意代码。他将这一发现发布在开源安全邮件列表上，开源社区从此开始关注这一事件。开发社区迅速揭露了这一攻击是如何被巧妙地注入XZutils的，XZutils是一个小型开源项目，至少自2009年以来一直由一名无偿开发人员维护。与违规提交相关的账户似乎玩起了长线游戏，慢慢赢得了XZ开发人员的信任，这让人们猜测恶意代码的作者是一个老练的攻击者，可能隶属于某个国家机构。该恶意代码的正式名称为CVE-2024-3094，CVSS评分为最高的10分。红帽公司报告说，恶意代码修改了liblzma中的函数，这是一个数据压缩库，是XZutils软件包的一部分，也是几个主要Linux发行版的基础部分。然后，任何与XZ库链接的软件都可以使用这些修改过的代码，并允许截取和修改与该库一起使用的数据。据Freund称，在某些条件下，这个后门可以让恶意行为者破坏sshd身份验证，从而允许攻击者访问受影响的系统。Freund还报告说，XZutils5.6.0和5.6.1版本也受到影响。RedHat在Fedora41和FedoraRawhide中发现了存在漏洞的软件包，建议用户停止使用，直到有更新可用，但RedHatEnterpriseLinux(RHEL)仍未受到影响。SUSE已发布openSUSE（Tumbleweed或MicroOS）的更新。DebianLinux稳定版是安全的，但测试版、不稳定版和实验版由于软件包受损，需要xz-utils更新。在3月26日至3月29日期间更新的KaliLinux用户需要再次更新以获得修复，而在3月26日之前更新的用户不受此漏洞影响。不过，正如许多安全研究人员指出的那样，情况仍在发展中，可能会发现更多漏洞。目前还不清楚其有效载荷是什么。美国网络安全和基础设施安全局建议人们降级到未被破坏的XZutils版本，即早于5.6.0的版本。安全公司还建议开发人员和用户进行事件响应测试，查看是否受到影响，如果受到影响，则向CISA报告。幸运的是，这些受影响的版本似乎并没有被纳入任何主要Linux发行版的生产版本中，但安全公司Analygence的高级漏洞分析师WillDormann告诉ArsTechnica，这次发现可谓千钧一发。他说："如果没有被发现，这将给世界带来灾难。"...PC版：https://www.cnbeta.com.tw/articles/soft/1425712.htm手机版：https://m.cnbeta.com.tw/view/1425712.htm