廣泛使用的 xz 資料壓縮工具和 liblzma 庫的最新版本中發現了嚴重的安全漏洞: CVE-2024-3094,似乎源於不良行為者故意將惡意程式碼插入上游 xz 工具套件儲存庫中。
xz壓縮工具套件提供無損資料壓縮功能,在 Linux 發行版和 macOS 系統中非常流行,用於壓縮軟體包、釋出 tarball、核心映像等。這種普遍性使得該後門的影響尤為嚴重。
受影響的版本是 xz 壓縮工具的 xz 5.6.0 和 5.6.1 以及它們連結的 liblzma 核心壓縮庫。這些版本在源釋出 tarball 中包含混淆的惡意程式碼,而公共 Git 儲存庫中不存在這些程式碼。
這個後門程式碼旨在在使用受感染的 xz 庫構建時干擾 Linux 系統上 OpenSSH 伺服器 (sshd) 中的身份驗證。
後門工作方式
後門利用複雜的技術躲避檢測,只有在非常特殊的情況下才會觸發。主要包括
- xz-utils 釋出的官方上游釋出壓縮包包含公共 Git 程式碼庫中沒有的惡意混淆程式碼
- Git 程式碼庫中精心製作的測試檔案充當惡意構建指令碼部署的有效載荷
- 該後門劫持了 glibc 中的 IFUNC 機制,以對 OpenSSH 的 RSA 公鑰解密等身份驗證例程執行執行時掛鉤。
- 它會根據構建工具鏈、作業系統分佈甚至執行中可執行檔案的程序名稱(/usr/sbin/sshd)有選擇性地啟用
- 在基於漏洞 glibc 的 Linux 系統上成功觸發後,後門就能繞過身份驗證流,並有可能啟用完全的遠端程式碼執行功能。
影響和風險因素
根據作業系統供應商的建議,迄今為止已知受影響的主要Linux發行版有:
- Fedora Linux 40 和 Fedora Rawhide(Fedora 開發分支)
- Debian 不穩定 (Sid) [確認]
- Kali Linux [受影響] [確認]
- Amazon Linux (AWS) [不受影響] [確認]
- OpenSUSE [不受影響] [確認]
- Arch Linux [帖子]
Fedora 已釋出恢復到安全 xz 5.4.x 版本的更新。紅帽還 緊急警告 使用者立即停止使用任何 Fedora Rawhide 例項,直至修補完畢,因為這構成了即將釋出的 Fedora 41 版本的基礎。
雖然目前沒有任何 Red Hat Enterprise Linux 版本似乎受到影響,但該後門也可能存在於打包受感染 xz 5.6.0/5.6.1 版本的其他 Linux 發行版中。使用者應諮詢其作業系統供應商以獲取更新和指導。
發現後門的原始郵件:
在過去幾周裡,發現 Debianid 安裝的 liblzma(xz 軟體包的一部分)出現了一些奇怪的症狀(用 ssh 登入需要花費大量時間)。
我找到了答案:
- 上游 xz 軟體倉庫和 xz 壓縮包都被做了植入後門。
起初我以為是 debian 的軟體包出了問題,但事實證明是上游的問題。
解決辦法:
所有Linux發行版供應商和使用者應立即安裝更新的XZ軟體包或將XZ Utils降級到未受影響的版本,以修復受影響系統上的此漏洞。