Linux xz 库中的恶意代码危及 SSH

大多数用户不会受到此恶意软件的影响，但如果它再几个月未被发现，那么每个使用 Linux 的人都将面临有史以来最大的安全灾难。

您可能从未听说过 xz 数据压缩代码，但它对许多程序至关重要，而且我们现在知道有人在其中植入了恶意代码。

当红帽 首次爆料最新版本的 xz 数据压缩库包含陷阱时，人们感到担忧，但并没有太担心。毕竟，他们推断，许多人一开始似乎认为这只是另一个安全漏洞。而其他人则认为，如果它只影响 Fedora Linux 40 beta，情况可能有多糟糕？

答案是：确实非常非常糟糕。

您会发现，虽然头脑清醒的人不会在生产环境中运行 Fedora beta，但问题不在于 Fedora。它包含新的 xz 库：xz-libs-5.6.0-1.fc40.x86_64.rpm 和 xz-libs-5.6.0-2.fc40.x86_64.rpm。

这些库包含恶意代码，旨在使攻击者能够通过未经授权的访问来接管系统。该后门恶意软件被写入上游 xz 存储库，然后放入其 tarball 中。

红帽在其 CVE-2024-3094 报告中给这个恶意代码最高的通用漏洞评分系统 (CVSS) 评级为 10。或者，正如我喜欢称该级别的错误一样，它是“把电源线从墙上扯下来”现在就可以省去任何额外的痛苦时间。

Microsoft 首席软件工程师 Andres Freund 分析了 xz 恶意软件。弗罗因德发现攻击者注入了一个激活后门的混淆脚本。在某些情况下，其主要攻击不起作用，唯一的结果是大幅减慢 SSH 登录速度。

事实上，对于流行的 SSH 程序 OpenSSH 来说，您甚至不需要将其作为服务器启动，减速效果就会影响您的系统。由于 SSH 对于 Linux 开发和管理至关重要，这已经够糟糕的了。

真正使这成为 PITA 主要问题的是这些库不仅仅存在于 Fedora 中。天啊，不。Xz 是一个核心 Linux 实用程序。这些库随处可见。

此事件中最令人不安的是，黑客似乎是值得信赖的 xz 维护者 Jia Tan。

虽然维护人员之前曾将恶意代码注入到受信任的开源代码中，但这种情况确实很少见。据我所知，重要的 Linux 实用程序以前从未发生过这种情况。

不过草丛里可能藏着更多的安全蛇。弗罗因德承认，“我不是安全研究员，也不是逆向工程师。有很多东西我没有分析过，而且我观察到的大部分内容纯粹是来自观察，而不是详尽地分析后门代码。”

好消息是，xz 5.6.0 和 5.6.1 尚未广泛包含在 Linux 发行版中。在合并的地方，代码大部分都是预发布版本。坏消息是，除了 Fedora 之外，它已经存在于 Debian、openSUSE、Ubuntu 等的早期版本中。只要你能想到的，它是一个尖端发行版或测试版，很可能坏代码就隐藏在里面。

所以你对此能做些什么？好吧，默认建议是恢复 xz 5.6.0/5.6.1。但是，Debian 开发者 Joey Hess 警告说，这可能还不够。Hess 担心 Tan 可能在 xz 中隐藏了其他后门。Hess 建议您一路恢复到 xz 5.3.1。

当然，如果您可以找到该代码。GitHub 已禁用 xz 存储库。这确实是一个一流的、令人震惊的安全混乱。

人们长期以来一直关注 xz 的代码质量，甚至该项目的一些基本前提。有了这个错误，我认为是时候认真考虑拉出 xz 并从源代码中替换它了。

大多数用户不会受到这种恶意软件的影响，但如果它再两三个月未被检测到，那么每个使用 Linux 的人都将面临有史以来最大的安全灾难。

随手关注或者”在看“，诚挚感谢！