紧急排查！liblzma/xz官方库被植入后门

xz是一种 通用的数据压缩格式，几乎存在于每个Linux发行版中，无论是社区项目还是商业产品发行版。 从5.6.0版本开始，在xz的上游tarball包中发现了恶意代码。 通过一系列复杂的混淆手段，liblzma的构建过程从伪装成测试文件的源代码中提取出预构建的目标文件，然后用它来修改liblzma代码中的特定函数。 这导致生成了一个被修改过的liblzma库，任何链接此库的软件都可能使用它，从而拦截并修改与此库的数据交互。

2024年3月28日，Ubuntu注意到一个上游的漏洞影响了xz-utils源代码包。受影响的库已经从Ubuntu 24.04 LTS预发布构建中移除。

3月29日，微软PostgreSQL开发人员Andres Freund在调查SSH性能问题时，在开源安全邮件列表中发帖称，他在xz软件包中发现了一个涉及混淆恶意代码的供应链攻击。据Freund和RedHat称，Git版的xz中没有恶意代码，只有完整下载包中存在。

xz 5.6.0和5.6.1版本库中存在的恶意注入只包含在tarball下载包中。注入期间构建时使用的第二阶段工件存在于Git存储库中，以防存在恶意的M4宏。如果不合并到构建中，第二阶段文件是无害的。在发现者的演示中，发现它干扰了OpenSSH守护进程。虽然OpenSSH没有直接链接到liblzma库，但它以一种使其暴露于恶意软件的方式与systemd通信，因为systemd链接到了liblzma。在适当的情况下，这种干扰有可能使恶意行为体破坏sshd认证，并远程未经授权访问整个系统。

x z 和 liblzma 5.6.0~5.6.1 版本，可能包括的发行版 / 包管理系统有：

• Fedora 41 / Fedora Rawhide

• Debian Sid

• Alpine Edge
• x64 架构的 homebrew

• 滚动更新的发行版，包括 Arch Linux / OpenSUSE Tumbleweed

1、排查软件版本是否在受影响范围内

您 可以在命令行输入 xz --version 来检查 xz 版本，如果输出为 5.6.0 或 5.6.1 ，说明您的系统 可能 已被植入后门。

另 外需要注意的是，xz 5.6.0 和 5.6.1 尚未被集成进Linux 发行版中，目前主要是在预发布版本中。除此之外，大部分的Linux发行版本中的openssh并不直接使用liblzma，目前已知的只有debian和一些openssh的补丁直接使用了liblzma。检测是否被植入后门请使用自查方法中的检测脚本。

2、如果相关版本在受影响范围内，利用如下自查脚本排查是否存在后门：

#! /bin/bash
set -eu
# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?if [ "$path" == "" ]thenecho probably not vulnerableexitfi
# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410thenecho probably vulnerableelseecho probably not vulnerablefi

3、如果核实存在相关后门文件：

若确认受影响，请将xz降级至 5.4. 6 版本。

• https://access.redhat.com/security/cve/CVE-2024-3094
  

• https://bugzilla.redhat.com/show_bug.cgi?id=2272210

• https://www.openwall.com/lists/oss-security/2024/03/29/4

• https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users