压缩工具 xz 被曝后门,红帽、debian 等发公告要求紧急停用 -博天堂网页

据 donews 报道,linux 圈近期发生了一起重大安全事件,主流 xz 被曝出存在后门。该事件引起了广泛关注,包括、 在内的多家知名机构已经发布了安全公告,要求用户紧急停用可能受到影响的 xz 工具版本。

详细情况

具体来说,red hat 公司在最新的 xz utils 数据压缩工具和库中发现了一个后门,并敦促用户立即停止使用 fedora 开发和实验版本。该公司警告称,用户应立即停止在工作或个人活动中使用任意 fedora 41 或者 fedora rawhide 实例。目前排查结果显示 red hat enterprise linux(rhel)没有任何版本受到影响。

此外,debian 安全团队也在适用于 debian unstable(sid)发行版的 xz5.6.x版本中找到了相关证据,证明存在后门,可以注入相关代码。在受影响的 debian 测试版、不稳定版和实验版中,xz 已被还原为上游的 5.4.5 代码。

安全影响

微软软件工程师安德烈斯・弗罗因德(andres freund)在一台 linux 盒子上调查 debian sid(debian 发行版的滚动开发版本) ssh 登录缓慢问题时,发现了这个安全问题。他发现 xz 格式压缩实用程序 xz-utils 的上游源代码压缩包已被破解,并在构建时向生成的 liblzma5 库中注入恶意代码。尽管弗罗因德表示目前并未找到在 xz 5.6.0 和 5.6.1 版本中添加恶意代码的确切目的,但这一供应链安全问题已经被 red hat 跟踪,并将其严重性评分定为 10/10。

应对措施

为了解决这个问题,red hat 正在跟踪这一供应链安全问题,将其命名为 cve-2024-3094,并将其严重性评分定为 10/10。同时,fedora 40 测试版中已恢复使用5.4.x版本的 xz。对于其他可能受到影响的系统,用户需要及时更新或卸载可能存在问题的 xz 工具版本,以防止潜在的安全风险。

总的来说,这次事件再次提醒了我们在使用开源软件时需要注意的安全问题,尤其是对于那些核心组件,我们需要更加谨慎地对待其安全性。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系918博天堂官网进行处理。

给ta打赏
共{{data.count}}人
人已打赏
  • 咨询电话
  • 176363189
  • 速度网络服务商
  • suduwangluo
个人中心
购物车
优惠劵
搜索
网站地图