主流压缩工具 XZ 被曝后门

2024年03月30日
首页博客

在3月30日的消息中,Red Hat公司发布了一则安全公告,指出在最新的XZ Utils数据压缩工具和库中发现了一个后门。这个后门被设计用于允许SSH未经授权的访问,具体表现为sshd pubkey登录后门。受到影响的XZ Utils版本为5.6.0和5.6.1,这些版本已经被多个Linux发行版合并。

Red Hat警告所有用户立即停止使用Fedora 41或Fedora RAWHIDE实例,以免受到此后门的影响。同时,经过排查,Red Hat Enterprise Linux(RHEL)的所有版本均未受到此次事件的影响。

此外,Debian安全团队也发布公告,表示当前没有发现有稳定版Debian使用问题XZ软件包。在受影响的Debian测试版、不稳定版和实验版中,XZ已被还原为上游的5.4.5代码,以消除潜在的安全风险。

这个安全问题的发现者是微软软件工程师安德烈斯·弗罗因德。他在调查Debian Sid(Debian发行版的滚动开发版本)SSH登录缓慢问题时,意外发现了这个后门。经过深入分析,弗罗因德发现XZ格式压缩实用程序xz-utils的上游源代码压缩包已被篡改,并在构建时向生成的liblzma5库中注入了恶意代码。

目前,这个供应链安全问题已被命名为CVE-2024-3094,其严重性评分定为10/10,显示出极高的安全风险。为了应对这一问题,Red Hat正在积极跟踪并处理这一事件,同时在Fedora 40测试版中恢复使用5.4.x版本的XZ,以避免潜在的安全隐患。

XZ Utils是一个为POSIX平台开发的高压缩率工具,使用LZMA2压缩算法。由于其高压缩率和快速解压缩的特点,XZ Utils在Linux社区中得到了广泛应用。然而,这次安全事件的爆发提醒我们,即使是最常用的工具和库也可能存在潜在的安全风险,我们必须时刻保持警惕,并密切关注相关的安全公告和更新。

对于受影响的用户来说,应立即停止使用受影响的XZ Utils版本,并等待官方发布安全更新后再进行升级。同时,也建议用户加强系统安全设置,定期更新和升级系统软件和库,以防范类似的安全风险。