[高危] XZ-Utils 5.6.0/5.6.1版本后门风险(CVE-2024-3094)

已于 2024-03-30 13:26:49 修改
阅读量2k 收藏 4
点赞数 1
文章标签: 安全威胁分析 安全 云计算
于 2024-03-30 13:26:08 首次发布
原文链接:https://v2ex.com/t/1028288
版权
xz和liblzma5.6.0~5.6.1版本存在安全漏洞,可能导致OpenSSH服务器被攻击。攻击者通过污染Git仓库植入后门,影响基于systemd的系统。建议降级至5.4.6或升级到5.6.4版本以缓解风险。
摘要由CSDN通过智能技术生成

原文链接

影响范围

xz 和 liblzma 5.6.0~5.6.1 版本,可能包括的发行版 / 包管理系统有:

  • Fedora 41 / Fedora Rawhide
  • Debian Sid
  • Alpine Edge
  • x64 架构的 homebrew
  • 滚动更新的发行版,包括 Arch Linux / OpenSUSE Tumbleweed

如果您的系统使用 systemd 启动 OpenSSH 服务器,您的 SSH 认证过程可能被攻击。

非 x64 (amd64) 架构的系统不受影响。

您可以在命令行输入

xz --version

来检查 xz 版本,如果输出为 5.6.0 或 5.6.1 ,说明您的系统已被植入后门

缓解措施

降级到 5.4.6 版本,或者更新到 5.6.4 版本

技术细节

攻击者污染了上游 Git 仓库的 build-to-host.m4 构建脚本和测试用例,在编译期间向 liblzma 注入攻击代码。

部分发行版的 OpenSSH Server 链接到 libsystemd ,而 libsystemd 依赖 liblzma 。因此您的 sshd 会执行被植入后门的代码。

该后门首先在 sshd 启动时替换 crc32_resolve() 和 crc64_resolve,然后试图从内存中解析符号表,并查找 RSA_public_decrypt@....plt 符号,并将其指向的地址替换为后门代码。

在 SSH 登录认证时,sshd 会调用该符号,并在服务器上执行攻击代码。但是其具体行为尚未被观测。

21e23f234
关注
【核弹级安全事件】XZ Utils库中发现秘密后门,影响主要Linux发行版,软件供应链安全大事件_cve-2024-3094(1)
2301_79054215的博客
04-19 550
鉴于数周以来的活动情况,提交者要么直接参与其中,要么他们的系统受到了相当严重的破坏,”Freund说,“遗憾的是,鉴于他们在各种清单上就‘修复’问题进行了沟通,后一种情况看起来不太可能。Red Hat 发布了一份“紧急安全警报”,警告称两款流行的数据压缩库XZ Utils(先前称为LZMA Utils)的两个版本已被植入恶意代码后门,这些代码旨在允许未授权的远程访问。,表明其严重性极高。“这将生成一个被修改的liblzma库,任何链接到此库的软件都可以使用该库,从而拦截和修改与此库的数据交互。
CVE-2024-3094:Linux生态供应链攻击
Ms08067安全实验室
03-30 1660
作者:皮卡丘CVE-2024-3094:供应链攻击? 一个潜伏3年只为通杀的漏洞,今天更新了一个CVE漏洞,XZ-utils5.6.0/5.6.1版本后门风险(CVE-2024-3094)这个后门并非作者无意加入的,也不是引入存在后门的库文件导致的问题,而是有人经过三年的潜伏,积极参与该项目的维护,在获得了直接commit代码的权限以后将后门代码注入其中。这个代码一共存活了不到2...
差点引爆全球的核弹,深度分析XZ-Utils供应链后门投毒事件
murphysec的博客
04-01 2955
wp:quote处心积虑的投毒者蛰伏三年多,精心选择对象,通过复杂的攻击手法、专业的技战术,一步步支起一张大网,企图掌控全球主流linux发行版,一旦成功他将可以随意侵入全球绝大多数的服务器,这将是足以引爆全球的核弹危机。所幸由于复杂度过高以及投毒者的疏忽,事件被及早发现,没有造成过大的现实危害。但此次事件再次凸显出开源软件生态的脆弱性,本次事件仍可能只是冰山下的一角。墨菲安全也提醒所有企业不应该默认相信来自开源社区的软件,应该加强企业自身的供应链安全体系建设,才能当危机来临时应对自如。/wp:quote。
xz后门处理 archlinux降级处理
Ache的博客
03-31 595
就需要降低或者升级了。
xz-utils包的下载方法及一些使用方法
m0_62755217的博客
09-12 3713
XZ Utils 是为 POSIX 平台开发具有高压缩率的工具。它使用 LZMA2 压缩算法,生成的压缩文件比 POSIX 平台传统使用的 gzip、bzip2 生成的压缩文件更小,而且解压缩速度也很快。
Linux 命令之 xz -- POSIX 平台的具有高压缩率的压缩工具
liaowenxiong的博客
05-28 536
文章目录一、命令介绍二、常用选项三、命令示例(一)压缩文件,压缩成功后删除原文件(二)解压文件,且不删除原文件(三)根据自定义的压缩率压缩文件(四)借助 xargs 命令并行压缩多文件 一、命令介绍 XZ Utils 是为 POSIX 平台开发具有高压缩率的工具。它使用 LZMA2 压缩算法,生成的压缩文件比 POSIX 平台传统使用的 gzip、bzip2 生成的压缩文件更小,而且解压缩速度也很快。 最初 XZ Utils 是基于 LZMA-SDK 开发,但是 LZMA-SDK 包含了一些 WINDOWS
极危!XZ Utils 5.6.0/5.6.1版本恶意后门植入漏洞风险通告
亚信安全官方账号的博客
04-01 1861
前日,亚信安全CERT监测到 XZ Utils 5.6.0、5.6.1版本存在恶意后门植入漏洞。攻击者可能利用该漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码,请相关用户立即采取安全措施!
使用 XZ Utils 获得更高的压缩率
xumaojun的专栏
03-31 1306
关于 XZ Utils XZ Utils 是为 POSIX 平台开发具有高压缩率的工具。它使用 LZMA2 压缩算法,生成的压缩文件比 POSIX 平台传统使用的 gzip、bzip2 生成的压缩文件更小,而且解压缩速度也很快。最初 XZ Utils 的是基于 LZMA-SDK 开发,但是 LZMA-SDK 包含了一些 WINDOWS 平台的特性,所以 XZ Utils 为以适应 POSIX 平
Error: Cannot find module 'react-dev-utils/crossSpawn'
some1204的博客
04-21 2416
报错内容 Error: Cannot find module 'react-dev-utils/crossSpawn' at Function.Module._resolveFilename (module.js:536:15) at Function.Module._load (module.js:466:25) at Module.require (module.js:...
CVE-2024-3094 XZ 后门:您需要了解的一切
最新发布
技术超强的网络安全平台
08-26 988
3 月 29 日,据报道,在 XZ Utils 中检测到了GitHub 项目现已暂停)。幸运的是,OSS 社区很快发现了该恶意代码,并且仅感染了该软件包的两个最新版本,即上个月发布的 5.6.0 和 5.6.1。大多数 Linux 发行版的稳定版本均未受到影响。受影响的 XZ Utils 版本附带的复杂恶意负载与 OpenSSH 服务器(SSHD)在相同的进程中运行,并修改了 OpenSSH 服务器中的解密例程,以允许。
vue引用 xeutils_在vue里如何使用xe-utils
weixin_42347535的博客
12-24 2666
这次给大家带来在vue里如何使用xe-utils,在vue里使用xe-utils的注意事项有哪些,下面就是实战案例,一起来看一下。本文介绍了vue使用xe-utils函数库的具体方法,分享给大家,具体如下:安装完成后自动挂载在vue实例:this.$utils(函数库)支持挂载函数列表:this.$browse(浏览器内核判断) this.$locat(用于读写地址栏参数)在 vue 实例中通过 ...
[万字] eMMC 调试工具 | eMMC/MMC 性能测试工具 MMC -utils | DD test | FIO test | IOZone test| Kernal mmc test 实战
热门推荐
串起点滴
08-05 9万+
linux 和 Android emmc 性能测试主要有 4 种工具: DD FIO IOZone Keneral mmc_test
xz命令
MatrixGod的博客
04-30 1万+
https://wangchujiang.com/linux-command/c/xz.html xz POSIX 平台开发具有高压缩率的工具。 补充说明 xz命令XZ Utils 是为 POSIX 平台开发具有高压缩率的工具。它使用 LZMA2 压缩算法,生成的压缩文件比 POSIX 平台传统使用的 gzip、bzip2 生成的压缩文件更小,而且解压缩速度也很快。最初 XZ Utils...
Linux 压缩工具XZ Utils的使用
建伟博客
01-06 4220
XZ Utils一个Free(免费,抑或自由)的高压缩比的数据压缩软件。可以运行在 Unix/Linux,以及Windows平台。是早期的LZMA Utils的继任者。 windows用xz命令或7zip解压,freebsd自带很多命令都可以xz -d或者unxz或者xzcat或者xzdec。 XZ Utils代码的核心部分源自 7z 中的 LZMA SDK,但做了大幅修改。目前,该软件 的压
XZ Utils backdoor(2024.03.29 发现)
yuluo的博客
03-31 503
攻击者JiaT75 (Jia Tan,github 账号已经被关停)于 2021 年注册了 GitHub 账号,之后积极参与 xz-utils 的维护,积极贡献。获得了 commit 代码的权利。JiaT75 在最近的一次 commit code 时,故意加入了和两个看起来并不起眼的测试用二进制数据。但是在编译脚本中,在特定条件下会从这两个文件中读取内容对项目编译结果进行修改,致使编译结果和公开的源代码不同。目前。
XZ-Utils 5.6.0/5.6.1版本后门风险
why2323的博客
04-01 1148
1、其中受影响版本XZ操作系统软件或软件如openSUSE、Fedora、libzma、debian非稳定的测试版本5.5.1alpha-0.1到5.6.1-1。1、是否使用XZ Utils软件,以及版本是否为xz==5.6.0或5.6.1版本?2、是否使用liblzma,以及版本是否为libzma==5.6.0或5.6.1?
linux安装xz utils
weixin_43611145的博客
09-29 3550
linux安装xz utils1.下载xz utils2.解压3.安装 1.下载xz utils 下载链接点我 2.解压 将下载好的文件上传到linux系统中/usr/local路径下,解压缩。 tar -zxvf xz-5.2.4.tar.gz 3.安装 将解压后的文件安装到/opt/soft/xz文件夹中。 新建/opt/soft/xz文件夹 mkdir /opt/soft/xz 进入x...
XZ-Utils后门事件过程及启示
INSBUG的博客
04-18 1117
Jia Tan通过邮件列表补充提交了一个补丁,这个补丁的提交得到另一个邮件列表成员Jigar Kumar(非项目维护人员)在精神上的支持,因为XZ项目开发和维护进度太慢了,而Jia Tan表现的相当积极。,Jia Tan首次出现在了XZ项目的邮件列表中,称自己发现了一个bug,并在自己fork的项目中做了相关的测试代码,即没有提交PR,而是通过邮件列表积极参与项目沟通。如果不是微软的工程师Andres Freund这次意外的发现,XZ-Utils后门可能会在未来的很长一段事件里造成巨大的危害和影响。
linux怎样安装xz工具,如何安装XZ Utils 解压缩工具以及利用 xz工具来解压缩.xz文件...
weixin_35778603的博客
05-04 2023
有段时间没有来园子了,今天从 上面下载了一个 2.6.32.2 内核压缩包,下载 下来后发现是一个 .xz 结尾的文件,一看与通常的 .gz、.bz2等格式不一样,感觉可能利用系统现有 的压缩和解压缩工具可能不能解压,测试后果然不能通过gzip、bzip呼和bzip2等工具解压有段时间没有来园子了,今天从 上面下载了一个 2.6.32.2 内核压缩包,下载下来后发现是一个 .xz 结尾的文件...
帮我做简单的修改 修改成windows版本能跑的 CLEAR_UTILS = False if not os.path.exists('./utils'): if os.path.exists('../build-utils/src/utils'): os.system('ln -s ../build-utils/src/utils utils') else: if not os.path.exists('./subproj/build-utils/src/utils'): if not os.path.exists('./subproj'): os.makedirs('./subproj') os.system('git clone https://github.com/sk1project/build-utils ' 'subproj/build-utils') os.system('ln -s ./subproj/build-utils/src/utils utils') CLEAR_UTILS = True CLEAR_UC2 = False
07-20
os.symlink('../build-utils/src/utils', 'utils', target_is_directory=True) else: if not os.path.exists('./subproj/build-utils/src/utils'): if not os.path.exists('./subproj'): os.makedirs('./...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值