漏洞通告！Linux主流压缩库xz爆满分漏洞，可被植入恶意后门，影响供应链上依赖该库的软件！

发布时间：

2024-03-31 13:34

01 漏洞概览

02 漏洞描述

Red Hat 公司本周五发布安全公告，其团队发现了xz库的5.6.0和5.6.1版本中，通过一系列复杂的混淆，liblzma构建过程从源代码中存在的伪装测试文件中提取一个预构建的对象文件，然后用于修改liblzma代码中的特定函数，这种修改了的liblzma库可被链接到此库的任何软件使用，从而拦截和修改与该库的数据交互，达到注入恶意代码的目的。

红帽已经该漏洞标记为 CVE-2024-3094。目前的调查表明，这些软件包仅存在于 Red Hat 社区生态系统内的 Fedora 41 和 Fedora Rawhide 中，Red Hat Enterprise Linux (RHEL) 的所有版本均不受影响。

Fedora Linux 40 用户可能已收到 5.6.0 版本，具体取决于系统更新的时间。Fedora Rawhide 用户可能已收到 5.6.0 或 5.6.1 版本。“请立即停止将任何 Fedora RAWHIDE 实例用于工作或个人活动。 Fedora Rawhide 很快就会恢复到 xz-5.4.x，一旦完成，Fedora Rawhide 实例就可以安全地重新部署。”

目前尚未发现任何 Debian 稳定版本受到影响。受影响的软件包属于 Debian 测试版、不稳定版和实验版，版本从 5.5.1alpha-0.1（2024-02-01 上传）到 5.6.1-1 不等。软件包已恢复使用上游 5.4.5 代码，并将其命名为 5.6.1+really5.4.5-1。敦促运行 Debian 测试版和不稳定版的用户更新 xz-utils 软件包。

Kali Linux 发布声明表示该漏洞对 3 月 26 日至 3 月 29 日期间的 Kali 造成了影响，建议相关用户尽快进行最新升级。Amazon Linux 则确认未受该漏洞影响，用户无需采取任何措施。

OpenSUSE 表示已于 3 月 28 日回滚了 Tumbleweed 上的 xz 版本，并发布了根据安全备份构建的新 Tumbleweed 快照（20240328 或更高版本）。“对于 SSH 被暴露在互联网上的 openSUSE Tumbleweed 用户，我们建议重新安装，因为不知道后门是否已被利用。由于后门的复杂性，不可能在系统上检测到漏洞。此外，强烈建议对可能从系统中获取的任何凭据进行轮换。否则，只需更新至 openSUSE Tumbleweed 20240328 或更高版本并重新启动系统即可。”

目前 GitHub 已全面禁用了 tukaani-project/xz 仓库，并附有一条信息：由于违反了 GitHub 的服务条款，GitHub 工作人员已禁止访问该版本库。如果您是该版本库的所有者，可以联系 GitHub 支持部门了解详情。

03 解决方案

如果您使用了受影响版本的XZ Util，建议根据厂商公告将其升级至最新版本或降级到5.6.0以下版本

04 产品解决方案

该漏洞可通过镜界容器安全平台来实施检测，可在漏洞管理-新增漏洞内增加CVE-2024-3094漏洞。