CVE-2024-3094:Linux生态供应链攻击

最新推荐文章于 2024-09-30 17:56:36 发布
最新推荐文章于 2024-09-30 17:56:36 发布
阅读量1.7k 收藏 9
点赞数 3
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/137194047
版权
本文介绍了CVE-2024-3094,一个针对XZ-utils的供应链攻击事件。攻击者通过长达三年的潜伏期,获得代码提交权限并在5.6.0/5.6.1版本中植入后门。虽然该漏洞在被PostgreSQL开发人员Andres Freund发现前仅存活了两个月,但对部分Linux发行版,尤其是Kali Linux的滚动更新用户构成威胁。幸运的是,大部分Linux发行版尚未集成受影响版本。文章建议用户检查更新历史,防止潜在风险。
摘要由CSDN通过智能技术生成

作者:皮卡丘

CVE-2024-3094:供应链攻击?        

一个潜伏3年只为通杀的漏洞,今天更新了一个CVE漏洞,XZ-utils5.6.0/5.6.1版本后门风险(CVE-2024-3094)这个后门并非作者无意加入的,也不是引入存在后门的库文件导致的问题,而是有人经过三年的潜伏,积极参与该项目的维护,在获得了直接commit代码的权限以后将后门代码注入其中。  

这个代码一共存活了不到2个月的时间,发现者是PostgreSQL 开发人员兼软件工程师 Andres Freund 意外发现的,在观察到 liblzma(xz 包的一部分)Debian sid(使用 ssh 登录占用了大量 CPU,valgrind 错误,然后找见了上游 xz 存储库和 xz tarball 已被后门。

幸运的是,xz 5.6.0 和 5.6.1 尚未被 Linux 发行版广泛集成,而且大部分是在预发行版本中。

但是kali linux如果每周更新或者最近3月26到29号之间更新了,不好意思。

根据kali官方说法希望更新,

def7c5c06a6e9764c8d96ae0c75eb0b9.png

首先我们apt-cache policy liblzma5       

  

最低0.47元/天 解锁文章
Ms08067安全实验室
关注
Node-ipc 热门包作者投毒“社死‘’,谁来保护开源软件供应链安全?
smellycat000的专栏
03-16 4855
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根...
OSCS-软件供应链安全威胁与业界解决方案
OSCS开源安全社区
06-02 1967
提到这个话题,其实它的背后是整个软件的发展,以及整个开源生态的发展,包括像云原生以及低代码这些新技术的发展,我们可以发现软件的开发越来越像是一个在搭积木的过程。这些积木,其实就是这些开源组件、开源软件。有机构调研显示说,在2015年到2019年之间,整个开源代码在项目代码里面使用的占比是翻了一倍的,直到今天,它大概是到了78%的一个水平。从上边的这一组数据来看,每个项目里面引入的开源组件可能会超过一百多个,这里面有28%都是有漏洞缺陷的。同时呢,这些有漏洞的组件,它不止存在一个漏洞,平均是两个三个漏洞,
潜伏三年,核弹级危机一触即发,亚信安全深度分析XZ Utils后门事件
亚信安全官方账号的博客
04-07 1197
潜伏三年,险造成严重后果,亚信安全深度分析XZ Utils后门事件。
【XZ-Utils供应链后门漏洞(CVE-2024-3094)】
一纸荒芜的博客
04-05 1299
XZ-Utils供应链后门漏洞(CVE-2024-3094)
CVE』简析CVE-2024-22243:SpringFrameworkURLParsingwithHostValidation及其绕过:CVE-2024-22259
最新发布
Ho1aAs‘s Blog
09-30 1242
解析外部提供的 URL(例如,通过查询参数)并且在解析的 URL 的主机上执行验证检查的应用程序可能容易受到开放重定向攻击,或者在通过验证检查后使用该 URL 时容易受到 SSRF 攻击。观察可以发现其实让userInfo匹配为“空”还有一个办法,星号可以匹配0次,所以可以在//后面之间跟一个@,这样userInfo匹配到的就是"",因为这里匹配的是第一个@前。因为第四个分组匹配到null,所以下一个分组从//后,继续匹配第五个分组,也就是匹配host。userInfo是第四个分组,是第三个分组的子组。
CVE-2024-3094】——漏洞复现、原理分析以及漏洞修复
IronmanJay
05-17 6062
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。2024年3月29日,安全社区披露其存在CVE-2024-3094 XZ-Utils 5.6.0-5.6.1版本后门风险。该后门存在于XZ Utils的5.6.0和5.6.1版本中,由于SSH底层依赖了liblzma等,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。
漏洞预警丨XZ Utilѕ工具库恶意后门植入漏洞(CVE-2024-3094)【内含自检方式】
jennycisp的博客
04-12 806
目前,很多WEB服务都具备了能够防御单IP发起的CC、扫描、采集等恶意行为的工具或模块,如Nginx的HttpLimitReqModule模块,Apache的mod_evasive模块,而且OWASP规则自身也包含了针对单IP发起的DOS攻击防护,但通过在云计算行业的多年工作经验中发现,为了避免单IP的恶意行为被拦截,黑客甚至会直接在运营商处租赁1个,或多个C的IP段,然后使用C段内的IP循环发起恶意行为,降低了单个IP单位时间内的访问频率,导致上述防御手段无法触发。
XZ Utilѕ⼯具库恶意后⻔植⼊漏洞(CVE-2024-3094)排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-01 2584
xz由Tukaani项⽬开发,⼏乎存在于每个Linux发⾏版中,⽆论是社区项⽬还是商业产品发⾏版,此漏洞影响范围较⼤,目前的调查表明,这些呗恶意代码修改的包只存在于Red Hat社区生态系统中的Fedora 40和Fedora Rawhide中。xz项⽬⽬前官⽅尚⽆最新版本,需对软件版本进⾏降级⾄5.4.6,但有人在社区爆料,攻击者可能已补发5.4.6的恶意版本,故可选5.4更低的版本,完成后进行漏洞扫描检测;,任何与该库链接的软件都可以使用它,拦截并修改与该库交互的数据。,其中5.2.5涉及。
极危!XZ Utils 5.6.0/5.6.1版本恶意后门植入漏洞风险通告
亚信安全官方账号的博客
04-01 1906
前日,亚信安全CERT监测到 XZ Utils 5.6.0、5.6.1版本存在恶意后门植入漏洞。攻击者可能利用该漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码,请相关用户立即采取安全措施!
OSCS开源软件安全周报,一分钟了解本周开源软件安全大事
OSCS开源安全社区
08-08 1049
OSCS社区共收录安全漏洞41个,值得关注的是Hadoop 存在shell命令注入漏洞(CVE-2022-35918),MinIO 存在路径遍历漏洞(CVE-2022-35919)和 rsync < 3.2.5 存在路径校验不严漏洞(CVE-2022-29154)。针对NPM、Python仓库,共监测到 5 次投毒事件,涉及 131 个不同版本的NPM、Python组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。rsync命令 是一个远程数据同步工具,可通过网络快速同步多台主机间的文件。...
详细分析PHP源代码后门事件及其供应链安全启示
smellycat000的专栏
03-30 2066
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根...
【核弹级安全事件】XZ Utils库中发现秘密后门,影响主要Linux发行版,软件供应链安全大事件
weixin_55163056的博客
03-31 2473
Red Hat 发布了一份“紧急安全警报”,警告称两款流行的数据压缩库XZ Utils(先前称为LZMA Utils)的两个版本已被植入恶意代码后门,这些代码旨在允许未授权的远程访问。 此次软件供应链攻击被追踪为``CVE-2024-3094``,其CVSS评分为``10.0``,表明其严重性极高。它影响了XZ Utils的5.6.0版本(2月24日发布)和5.6.1版本(3月9日发布)
XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094)安全风险通告
smellycat000的专栏
03-31 625
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称XZ Utilѕ 工具库恶意后门植入漏洞漏洞编号QVD-2024-11691,CVE-2024-3094公开时间2024-03-29影响量级万级奇安信评级高危CVSS 3.1分数10.0威胁类型供应链攻击、后门利用可能性高POC状态未公开在野利用状态未知EXP状态未公开技术细节状态部分公开危害描述:恶意代码可能允许攻击者通过后门版本的SS...
xz爆出10分的核弹级漏洞,开源社区的仓库都被炸没了
一点
03-31 948
这可能是2024年安全界的第一大瓜,所有观众都将是这场事件史诗级安全事件的见证者。用一句比较吸眼球的话概括这个故事。养父投毒差点毒死养子,社区委员会查封了该家的故事。
2024Linux漏洞修复合集
slience_me的博客
01-03 4055
2024 Linux漏洞修复合集
【漏洞修复】 CVE Linux 系统应用漏洞修复笔记
张小三的博客
02-07 7615
根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理,通过发送精心构造的数据包到目标服务,根据目标的响应情况,验证漏洞是否存在。启动完成后查看nginx的版本信息,验证nginx的openssl版本号是否已经升级成功。原本我的nginx中使用的openssl 版本号为:1.0.2s。结束后在此查询openssl的版本号,验证是否升级成功。目录,使用以下命令下载最新版的安装包到此目录下。将以下的内容替换 nginx 的443配置中的。进入nginx的安装目录下的。目录下启动nginx。
CVE-2024-23897复现及IDS中snort防御规则制定
2401_82670286的博客
01-30 2676
CVE-2024-23897是一个涉及Jenkins未授权文件读取的漏洞。它利用了Jenkins命令行接口(CLI)的特性,其中CLI使用args4j库解析命令行参数。args4j库具有一个特点,即当命令行参数以@字符开头时,该参数会被视为文件路径,并将该文件内容读取作为参数。利用这一特性,攻击者可以通过Jenkins CLI读取Jenkins服务器上的任意文件。这段代码的主要问题在于它处理以字符开头的命令行参数时,会尝试将其视为文件路径,并读取该文件的内容。具体来说,如果参数以。
高危漏洞CVE-2024-38077的修复指南
Linux学习的那些事儿
08-13 9097
根据2024年8月9日,**国家信息安全漏洞共享平台**(CNVD)收录了Windows远程桌面许可服务远程代码执行漏洞**(CNVD-2024-34918,对应CVE-2024-38077)**。未经身份认证的攻击者可利用漏洞远程执行代码,获取服务器控制权限。目前,该漏洞的部分技术原理和概念验证伪代码已公开,厂商已发布安全更新完成修复。CNVD建议受影响的单位和用户安全即刻升级到最新版本。
CVE-2024-23897 Jenkins 任意文件读取漏洞
LJQClqjc的博客
01-26 3276
Jenkins 有一个内置的命令行界面CLI,在处理 CLI 命令时Jenkins 使用args4j 库解析 Jenkins 控制器上的命令参数和选项。此命令解析器具有一个功能,可以将@参数中后跟文件路径的字符替换为文件内容 ( expandAtFiles)。根据Jenkins 官方描述,具有Overall/Read权限的攻击者可以读取整个文件,未授权的攻击者仅能读取文件前几行内容。攻击者可以通过读取jenkins文件获取相关密钥从而实现命令执行。
如何检测CVE-2024-38077漏洞:Windows远程代码执行
资源摘要信息:"CVE-2024-38077漏洞检测工具" 1. 漏洞概述 CVE-2024-38077是一个特定的安全漏洞标识,它指的是在Windows远程桌面授权服务中发现的远程代码执行漏洞。此类漏洞允许攻击者通过远程桌面协议(RDP)在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值