2024年3月30日，红帽（Red Hat）公司发布了一份紧急安全警报，警告称一款名为XZ Utils（以前名为LZMA Utils）的流行数据压缩软件的两个版本已被植入恶意代码，可能允许未经授权的远程访问。

xz是一种使用LZMA压缩算法的无损数据压缩文件格式，几乎存在于每个Linux发行版中。该漏洞（CVE-2024-3094）CVSS评分为10.0，意味着最高严重性，影响2月24日发布的5.6.0版本、3月9日发布的5.6.1版本。根据系统更新的时间，Fedora Linux 40用户可能已收到5.6.0版本，Fedora Rawhide用户可能已收到5.6.0或5.6.1版本。

根据红帽公司警报，其已确认Fedora Linux 40 beta包含两个受影响的xz版本 - xz-libs-5.6.0-1.fc40.x86_64.rpm和xz-libs-5.6.0-2.fc40.x86_64.rpm。为了安全起见，红帽建议所有Fedora 40 Linux beta用户回退到5.4.x版本。

据了解，恶意更改是由JiaT75提交的，他是xz Utils的两名主要开发人员之一。卡巴斯基表示，这是一个典型的控制转移案例。黑客在开发社区中潜伏两年，为多个与数据压缩相关的仓库做贡献，骗取最初在GitHub上维护XZ Libs项目的主开发的信任，从而在后来某日，巧妙地在项目代码中植入一个难以察觉的后门。

如果不是微软安全研究员Andres Freund在一台Linux上进行性能分析时，发现存在SSH登陆缓慢问题，并对此深入调查，恐怕会是一场全世界范围的灾难事件。

为方便用户自查，Openwall对此给出了一段用于检测是否存在后门的脚本：

#! /bin/bash# Modified to run both (redudantly, yes, I know, I am paranoid, you should be too) checks#set -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"echo 'Check one: does it even exist?'# does it even exist?if [ "$path" == "" ]then  echo probably not vulnerable  # exitfiecho 'Check 2: function signature'# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410then  echo probably vulnerableelse  echo probably not vulnerablefi

代码出处：https://gist.github.com/darkerego/b8fe6b2ebf2949b5dbfa1593204ae659

编辑：左右里

资讯来源：redhat、kaspersky

转载请注明出处和本文链接

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界