-
-
[分享]Linux平台主流压缩工具XZ被爆后门,黑客潜伏两年之久
-
发表于:
2024-4-1 18:37
3915
-
[分享]Linux平台主流压缩工具XZ被爆后门,黑客潜伏两年之久
2024年3月30日,红帽(Red Hat)公司发布了一份紧急安全警报,警告称一款名为XZ Utils(以前名为LZMA Utils)的流行数据压缩软件的两个版本已被植入恶意代码,可能允许未经授权的远程访问。
xz是一种使用LZMA压缩算法的无损数据压缩文件格式,几乎存在于每个Linux发行版中。该漏洞(CVE-2024-3094)CVSS评分为10.0,意味着最高严重性,影响2月24日发布的5.6.0版本、3月9日发布的5.6.1版本。根据系统更新的时间,Fedora Linux 40用户可能已收到5.6.0版本,Fedora Rawhide用户可能已收到5.6.0或5.6.1版本。
根据红帽公司警报,其已确认Fedora Linux 40 beta包含两个受影响的xz版本 - xz-libs-5.6.0-1.fc40.x86_64.rpm和xz-libs-5.6.0-2.fc40.x86_64.rpm。为了安全起见,红帽建议所有Fedora 40 Linux beta用户回退到5.4.x版本。
据了解,恶意更改是由JiaT75提交的,他是xz Utils的两名主要开发人员之一。卡巴斯基表示,这是一个典型的控制转移案例。黑客在开发社区中潜伏两年,为多个与数据压缩相关的仓库做贡献,骗取最初在GitHub上维护XZ Libs项目的主开发的信任,从而在后来某日,巧妙地在项目代码中植入一个难以察觉的后门。
如果不是微软安全研究员Andres Freund在一台Linux上进行性能分析时,发现存在SSH登陆缓慢问题,并对此深入调查,恐怕会是一场全世界范围的灾难事件。
为方便用户自查,Openwall对此给出了一段用于检测是否存在后门的脚本:
#! /bin/bash# Modified to run both (redudantly, yes, I know, I am paranoid, you should be too) checks#set -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"echo 'Check one: does it even exist?'# does it even exist?if [ "$path" == "" ]then echo probably not vulnerable # exitfiecho 'Check 2: function signature'# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410then echo probably vulnerableelse echo probably not vulnerablefi
代码出处:https://gist.github.com/darkerego/b8fe6b2ebf2949b5dbfa1593204ae659
编辑:左右里
资讯来源:redhat、kaspersky
转载请注明出处和本文链接
[课程]Android-CTF解题方法汇总!