压缩软件xz被植入后门的事件引起了广泛关注和紧急响应。xz-utils的5.6.0和5.6.1版本被发现存在后门漏洞(CVE-2024-3094),这个漏洞被评为高危,CVSS得分为10.0,意味着它具有极高的风险等级3818。这个后门允许攻击者在受影响的系统上远程执行任意命令,对Linux生态系统构成了严重威胁71127。
Andres Freund是第一个发现并报告这一后门的人,他在xz/liblzma中发现了隐藏得非常巧妙的后门,这个后门甚至影响到了OpenSSH服务器的安全526。此外,维护者Jia Tan也被指出为注入后门的人425。这个后门的存在使得在某些情况下利用RCE(Remote Code Execution/远程代码执行)成为可能24。
多个Linux发行版,包括Red Hat、Debian等,都受到了影响,并且已经发出了安全公告要求用户立即停止使用受影响版本的xz-utils919。统信UOS操作系统宣布其各版本均不受影响,显示了对该事件的快速响应和排查工作71517。
此次事件不仅揭示了开源软件供应链中的安全漏洞,也强调了及时的安全更新和修复的重要性。为了应对这一漏洞,建议所有受影响的系统和容器镜像进行升级,以避免潜在的安全风险6。此外,由于实际使用中历史版本的xz组件有可能升级到后门版本从而产生影响,因此进行全面测绘分析以评估和缓解风险是非常必要的29。
xz-utils 5.6.0和5.6.1版本后门漏洞的具体技术细节是什么?
xz-utils 5.6.0和5.6.1版本的后门漏洞(CVE-2024-3094)的具体技术细节尚未完全公开。然而,根据现有的证据,可以推断出一些关键信息。
这个后门漏洞存在于xz-utils的5.6.0和5.6.Andres Freund在2024年3月29日发现了这个后门31。这个漏洞被分配了CVE-2024-3094编号,并且被认为是一个严重的安全风险37。
具体来说,这个后门漏洞可能允许攻击者通过特定版本的Linux发行版中的SSH认证绕过,从而非授权获取系统的访问权限3238。此外,微软员工在处理全球Linux系统崩溃事件时意外发现了这个后门漏洞3536。尽管具体的利用方法和技术细节尚未公开38,但安全社区已经意识到这个问题的严重性,并建议受影响的用户立即停止使用受影响版本的xz-utils,并降级到更安全的版本(如xz-5.4.虽然详细的利用方法和技术细节尚未完全披露,但已知的是,CVE-2024-3094是一个严重的后门漏洞,它可能允许攻击者通过SSH认证绕过,从而在特定条件下执行远程代码。安全社区和组织正在积极采取措施来应对这一威胁,并建议用户采取相应的防护措施。
Andres Freund是如何发现xz-utils中的隐藏后门的?
Andres Freund是在调试SSH性能问题时发现了xz-utils中的隐藏后门。他在Debian sid安装上观察到liblzma(xz软件包的一部分)出现了一些奇怪的症状,比如使用ssh登录时CPU占用率很高,以及valgrind错误41。进一步的研究揭示了这些症状背后的原因:在xz Utils的5.6.0和5.6.1版本中,恶意代码被添加到了与lzma压缩或解压缩相关的操作方式中40。此外,他还在排查sshd服务异常时发现xz-utils的上游tar包被投毒,并报告了这一情况45。总的来说,Freund是通过观察到的SSH性能问题和对相关异常症状的深入调查,最终发现了xz-utils中的隐藏后门。
Jia Tan在xz-utils注入后门事件中扮演了什么角色?
Jia Tan在xz-utils注入后门事件中扮演了攻击者的角色。从2021年开始,Jia Tan以化名“JiaT75”注册了GitHub账号,并积极参与xz-utils项目,最终获得了提交访问权限和维护权限5153。他们故意引入了恶意代码,植入了SSH后门,这一行为跨越了多年,影响了xz-utils的5.6.0和5.6.1版本525658。此外,Jia Tan是xz-utils项目的两位主要开发者之一59,并且在专门负责运营xz-utils项目的Tukkaani组织中担任维护人员55。这表明Jia Tan不仅参与了项目的正常维护工作,还利用其权限和地位,故意添加了恶意代码,导致了严重的供应链攻击事件。
Red Hat、Debian等Linux发行版对xz-utils安全更新的具体措施是什么?
Red Hat和Debian等Linux发行版对xz-utils的安全更新措施主要包括:
- Debian:
- Debian在其旧稳定版本(buster)中修复了此问题,升级到了5.2.4-1+deb10u1版本。对于稳定版本(bullseye),则升级到了5.2.5-2.1~deb11u1版本61。
- 在CVE-2024-3094被发现后,Debian测试、不稳定和实验性分发的受影响包部分被回退到使用上游5.4.5代码的版本,具体为5.6.1+really5.4.2. Red Hat:
- Red Hat发布了紧急安全警报,提醒用户两个版本的XZ Utils库被植入恶意代码,旨在允许未经授权的远程访问。该供应链妥协被跟踪为CVE-2024-3094,CVSS评分为10.0,表示最高严重性68。
- 对于Red Hat Enterprise Linux 7,现在可用的更新被Red Hat Product Security评为重要级别。虽然具体的升级版本没有在证据中明确提及,但这表明Red Hat采取了措施来解决这一问题63。
这些措施体现了Linux发行版对于安全漏洞的响应速度和重视程度。通过发布安全更新和回退到未受损害的版本,Debian和Red Hat都在努力减少系统漏洞,提升系统的安全性。此外,定期更新系统补丁、加强系统和网络的访问控制以及修改防火墙策略等措施也是提高服务器安全性的有效方法67。
如何进行全面测绘分析以评估和缓解xz-utils后门风险?
进行全面测绘分析以评估和缓解XZ-utils后门风险,首先需要了解后门的具体情况和影响范围。XZ Utils的5.6.0和5.6.1版本被发现存在严重的后门风险71。这些后门可能允许未经授权的访问70。为了全面评估这一风险并采取相应的缓解措施,以下步骤是必要的:
- 识别受影响版本:首先确认哪些版本的XZ Utils受到后门的影响。根据证据,受影响的是5.6.0到5.6.1版本72。
- 评估影响范围:了解哪些系统或服务使用了受影响的XZ Utils版本。这包括检查主流的Linux发行版中是否集成了这些版本的XZ Utils71。
- 分析后门行为:研究后门的具体行为和目的。据报道,后门是由一个名为Jia Tan的人创建,并在2023年开始作为XZ的常规贡献者活动73。了解其动机和行为模式对于制定有效的缓解策略至关重要。
- 通知和警告:向用户和系统管理员发出警告,特别是那些使用受影响版本的XZ Utils的用户。Red Hat和其他安全机构已经发布了紧急安全警报7073。
- 停止使用受影响版本:建议立即停止使用受影响的XZ Utils版本,以防止潜在的安全威胁。
- 更新到安全版本:寻找并应用XZ Utils的新版本,确保不再包含后门。虽然具体的解决方案没有在证据中提及,但这是缓解风险的基本步骤。
- 加强监控和日志记录:增加对系统活动的监控和日志记录,以便及时发现任何异常行为,这有助于快速响应和处理安全事件。
- 社区合作与信息共享:与开源社区和其他安全机构合作,共享有关后门的信息和应对策略。CISA已经对此事做出回应,并与开源社区一起应对恶意代码嵌入的问题73。
通过上述步骤,可以有效地评估和缓解XZ-utils后门风险,保护系统免受未授权访问和潜在的安全威胁。
参考资料:
1. 立级排查!流行Linux压缩工具XZ被植入史诗级后门 - 安全内参 [2024-04-02]
2. 知名压缩软件 xz 被发现有后门,影响有多大?如何应对? - 知乎 [2024-03-30]
3. 【安全通告】XZ-Utils / liblzma 被投毒植入恶意代码风险通告(CVE-2024-3094)
4. 【知乎】知名压缩软件 xz 被发现有后门,影响有多大?如何应对? - 哔哩哔哩 [2024-03-29]
5. 知名压缩软件xz 被植入后门,黑客究竟是如何做到的? 原荐 - 开源中国 [2024-04-03]
6. Arch Linux - News: The xz package has been backdoored [2024-03-29]
7. 主流压缩软件XZ被曝后门!统信UOS:各版本均不受影响 - 快科技 [2024-04-01]
8. XZ-Utils工具库后门漏洞(CVE-2024-3094)通告 - 绿盟科技技术博客 [2024-03-29]
9. Linux 圈"地震":主流压缩工具 XZ 被曝后门,红帽、Debian 等发公告要求紧急停用 - IT之家 [2024-03-30]
10. 突发: xz-utils 被注入后门 (CVE-2024-3094) - 知乎 - 知乎专栏
11. xz爆出10分的核弹级漏洞,开源社区的仓库都被炸没了 - 博客园 [2024-03-31]
12. Linux发行版被XZ压缩工具植入了后门: CVE-2024 - 知乎
13. Reported Supply Chain Compromise Affecting XZ Utils Data ... - CISA [2024-03-29]
14. 知名压缩软件xz 被植入后门,黑客究竟是如何做到的? - 稀土掘金 [2024-04-03]
15. 主流压缩软件XZ被曝后门!统信UOS:各版本均不受影响 [2024-04-01]
16. XZ恶意代码潜伏三年,差点引发核末日?后门投毒黑客身份成谜 - 36氪 [2024-04-01]
17. 主流压缩软件XZ被曝后门!统信UOS:各版本均不受影响 - 网易 [2024-04-02]
18. 微软员工意外从CVE-2024-3094 XZ后门中挽救了全球Linux崩溃事件 [2024-04-03]
19. 主流压缩工具XZ 被曝后门,红帽、Debian 等发公告要求紧急停用 [2024-03-31]
20. XZ恶意代码潜伏三年,差点引发核末日?后门投毒黑客身份成谜 [2024-04-02]
21. Xz后门技术解读:狼是怎么进来的? - 知乎 - 知乎专栏 [2024-04-01]
22. Linux 用户请注意,压缩软件xz 被植入后门 [2024-04-01]
23. liblzma/xz库被植入后门 (CVE-2024-3094) 影响SSH事件紧急通告 - 安全内参 | 决策者的网络安全知识库 [2024-03-30]
24. XZ压缩工具被植入后门,Linux发行版差点全部沦陷?开源软件界炸了 [2024-04-02]
25. 知名压缩软件xz 被发现有后门,影响有多大?如何应对? - 知乎 [2024-03-30]
26. 知名压缩软件 xz 被植入后门,黑客究竟是如何做到的? - 知乎
27. liblzma/xz 后门高危漏洞-腾讯云开发者社区 [2024-04-03]
28. Linux xz后门的破坏可能比想象的更大 - 知乎 - 知乎专栏
29. 【天问】xz/liblzma后门影响全网软件测绘分析 - 奇安信技术研究院 [2024-03-30]
31. 20230330 突发: xz-utils 被注入后门(CVE-2024-3094) - 稀土掘金 [2024-03-31]
32. Backdoor in XZ Utils allows RCE: everything you need to know [2024-03-29]
35. 微软员工意外从CVE-2024-3094 XZ后门中挽救了全球Linux系统 [2024-04-03]
36. 微软员工意外从CVE-2024-3094 XZ后门中挽救了全球Linux崩溃事件 [2024-04-03]
37. 漏洞预警丨XZ Utilѕ工具库恶意后门植入漏洞(CVE-2024-3094)【内含 ... [2024-04-03]
38. XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094)安全风险通告转载 [2024-04-01]
39. 阿里云漏洞库 [2024-03-30]
40. What we know about the xz Utils backdoor that almost infected the world ... [2024-04-01]
41. oss-security - backdoor in upstream xz/liblzma leading to ssh server ... [2024-03-29]
42. 开源XZ Utils 压缩程序发现后门允许恶意攻击者远程访问系统 - 威武网安 [2024-03-31]
45. XZ-Utils供应链威胁揭秘:后门投毒深度分析与防御策略 - 威武网安 [2024-04-03]
46. A backdoor in xz [LWN.net] [2024-03-29]
47. Beware! Backdoor found in XZ utilities used by many Linux distros (CVE ... [2024-03-29]
48. Security Alert: Potential SSH Backdoor Via Liblzma | Hackaday [2024-03-29]
49. Threat Brief: XZ Utils Vulnerability (CVE-2024-3094) [2024-03-30]
51. XZ开源攻击时间线 - 稀土掘金 [2024-04-03]
52. XZ Backdoor / RCE (CVE-2024-3094) is the Biggest Supply Chain Attack ... [2024-04-01]
53. 吃瓜,xz 供应链攻击事件 - 小谷的编程随笔空间 [2024-03-31]
55. 蛰伏三年,XZ开源项目维护者转身投“核弹级漏洞”,幸被微软工程师捉 ... [2024-04-03]
56. Malicious Code in XZ Utils for Linux Systems Enables Remote Code Execution [2024-04-02]
57. Microsoft FAQ and guidance for XZ Utils backdoor [2024-04-01]
58. xz活跃维护者“潜伏”三年——添加恶意代码、植入SSH后门 - 网易 [2024-04-01]
59. XZ恶意代码潜伏三年,差点引发核末日?后门投毒黑客身份成谜 [2024-04-01]
61. [SECURITY] [DSA 5123-1] xz-utils security update - Debian [2022-04-18]
62. XZ-UTILS工具库后门漏洞(CVE-2024-3094)通告 - 知乎专栏 [2024-04-02]
63. [RHSA-2022:5052-01] Important: xz security update
64. CVE-2024-3094:XZ工具中新发现的后门 - 稀土掘金 [2024-04-03]
65. Xz/liblzma security update - Announcements - Ubuntu Community Hub [2024-03-29]
66. 安全提醒:xz 软件包被植入后门 [2024-03-30]
67. CVE-2024-3094:XZ-Utils供应链后门漏洞 - 威武网安 [2024-03-31]
68. Urgent: Secret Backdoor Found in XZ Utils Library, Impacts Major Linux ... [2024-03-30]
70. XZ Utils 库中发现秘密后门,影响主要的Linux 发行版 - T00ls
71. Linux 安全漏洞警示:XZ Utils 版本5.6.0 和5.6.1 存在严重后门风险 [2024-03-30]
72. 主流压缩软件XZ被曝后门!统信UOS:各版本均不受影响 - 新浪 [2024-04-01]
73. Red Hat, CISA Warn of XZ Utils Backdoor | Decipher - Duo Security [2024-03-29]
