近日,紅帽(Red Hat)和美國網路安全和基礎設施安全域性(CISA)聯合釋出警告,稱流行的 Linux 壓縮工具 XZ Utils 存在影響廣泛的高危漏洞 CVE-2024-3094(CVSS評分 10 分),被其維護者(Jian Tan)植入惡意後門,駭客可以利用此後門遠端入侵併控制整個系統。龍蜥社群安全委員會聯合阿里雲安全應急響應團隊第一時間進行分析排查, 證實龍蜥全系產品(Anolis OS 7、8、23)及 Alibaba Cloud Linux(Alinux 2、3)均不受 XZ 後門影響 ,可放心使用。龍蜥社群第一時間更新龍蜥漏洞庫,釋出了 漏洞公告。
微軟工程師安德烈斯·弗倫德(Andres Freund)上週在調查一臺執行 Debian Sid (Debian 發行版的滾動開發版本)的 Linux 裝置 SSH 登入速度過慢問題時發現了該安全漏洞(後門),並報告至 openwall( https://www.openwall.com/lists/oss-security/2024/03/29/4),紅帽為之分配了漏洞編碼 CVE-2024-3094( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094)。
調查顯示,從 5.6.0 版本開始,XZ 的上游程式碼庫和 tarball 下載包中被植入惡意程式碼。liblzma(XZ 包的一部分)構建過程會從偽裝成測試檔案的混淆二進位制惡意檔案中提取預構建的物件檔案,用於修改 liblzma 程式碼中的特定函式,生成一個被篡改的 liblzma 庫,該庫可以被任何連結到此庫的軟體使用,從而擷取並修改與該庫的資料互動。
經證實,該漏洞後門存在於 XZ Utils 最新發布的 5.6.0 和 5.6.1 版本中。利用該後門, 遠端攻擊者能夠透過 SSH 傳送任意程式碼,造成遠端任意程式碼執行,從而入侵併控制整個系統。
安全專家建議,XZ5.6.0 和 5.6.1 版本的使用者應該 立即降級或 停用該工具。
龍蜥社群發行的 XZ 為穩定版本 5.2.2、5.2.4 及 5.4.4,均不受該漏洞(後門)影響,無需採取任何行動,可放心使用。
2024.3.28 阿里雲安全應急響應團隊第一時間感知到 XZ 後門漏洞,立即聯合龍蜥安全團隊對漏洞情報進行分析,迅速排查龍蜥全系產品,及下游 Alibaba Cloud Linux 產品(簡稱 Alinux) , 確認 Anolis OS 及 Alinux 全系產品中 XZ 元件均未升級至受影響的 5.6.0 及 5.6.1 版本,均不受該漏洞影響。
2024.3.29 龍蜥社群安全中心更新漏洞庫,釋出 CVE-2024-3094 漏洞公告。
龍蜥社群已經建立起從 漏洞感知、評估,到漏洞修復、披露的全生命週期閉環的安全漏洞管理流程體系。社群針對最新安全威脅進行及時的跟蹤與風險評估,制定完備的漏洞修復策略。並依據威脅等級釋出安全更新,幫助龍蜥使用者及時修復安全漏洞,全面提升系統安全。
龍蜥社群漏洞全生命週期管理流程如下:
龍蜥社群非常重視龍蜥產品安全性,組建了龍蜥社群安全委員會,制定了完善的安全應急響應流程,為龍蜥產品的安全保駕護航,讓龍蜥產品安全無憂,讓龍蜥使用者安心放心。
龍蜥社群也已成為 CVE.org 組織的 CNA 單位,具備 CVE 編號分配資質。截至目前,龍蜥社群已成功申報了十多個 Linux 核心相關的安全漏洞。
同時,龍蜥社群也透過組建 「龍蜥社群安全聯盟」,與國內外知名的裝置、平臺、安全廠商及高校科研單位一起,共建龍蜥社群安全生態 (如需加入「 龍蜥社群安全聯盟」,可與我們聯絡:secretary@openanolis.org)。也歡迎感興趣的企業和個人加入“ 龍蜥社群系統安全 SIG 交流群”(釘釘群號:74890001865),進一步合作探討。
來自 “ ITPUB部落格 ” ,連結:https://blog.itpub.net/70004278/viewspace-3012461/,如需轉載,請註明出處,否則將追究法律責任。