首页
社区
课程
招聘
[分享]Linux平台主流压缩工具XZ被爆后门,黑客潜伏两年之久
发表于: 2024-4-1 18:37 2583

[分享]Linux平台主流压缩工具XZ被爆后门,黑客潜伏两年之久

2024-4-1 18:37
2583

2024年3月30日,红帽(Red Hat)公司发布了一份紧急安全警报,警告称一款名为XZ Utils(以前名为LZMA Utils)的流行数据压缩软件的两个版本已被植入恶意代码,可能允许未经授权的远程访问。


xz是一种使用LZMA压缩算法的无损数据压缩文件格式,几乎存在于每个Linux发行版中。该漏洞(CVE-2024-3094)CVSS评分为10.0,意味着最高严重性,影响2月24日发布的5.6.0版本、3月9日发布的5.6.1版本。根据系统更新的时间,Fedora Linux 40用户可能已收到5.6.0版本,Fedora Rawhide用户可能已收到5.6.0或5.6.1版本



根据红帽公司警报,其已确认Fedora Linux 40 beta包含两个受影响的xz版本 - xz-libs-5.6.0-1.fc40.x86_64.rpm和xz-libs-5.6.0-2.fc40.x86_64.rpm。为了安全起见,红帽建议所有Fedora 40 Linux beta用户回退到5.4.x版本。


据了解,恶意更改是由JiaT75提交的,他是xz Utils的两名主要开发人员之一。卡巴斯基表示,这是一个典型的控制转移案例。黑客在开发社区中潜伏两年,为多个与数据压缩相关的仓库做贡献,骗取最初在GitHub上维护XZ Libs项目的主开发的信任,从而在后来某日,巧妙地在项目代码中植入一个难以察觉的后门。


如果不是微软安全研究员Andres Freund在一台Linux上进行性能分析时,发现存在SSH登陆缓慢问题,并对此深入调查,恐怕会是一场全世界范围的灾难事件。


为方便用户自查,Openwall对此给出了一段用于检测是否存在后门的脚本:

#! /bin/bash# Modified to run both (redudantly, yes, I know, I am paranoid, you should be too) checks#set -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"echo 'Check one: does it even exist?'# does it even exist?if [ "$path" == "" ]then  echo probably not vulnerable  # exitfiecho 'Check 2: function signature'# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410then  echo probably vulnerableelse  echo probably not vulnerablefi

代码出处:https://gist.github.com/darkerego/b8fe6b2ebf2949b5dbfa1593204ae659



编辑:左右里

资讯来源:redhat、kaspersky

转载请注明出处和本文链接


[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。

收藏
点赞0
支持
分享
最新回复 (1)
雪    币: 2604
活跃值: (4284)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
LZMA都有问题,服了!
2024-4-5 23:33
0
游客
登录 | 注册 方可回帖
返回