事件来源
2024年3月29日,在Openwall安全邮件列表上发布了一个帖子,提示liblzma的代码可能被篡改,而liblzma 是 XZ Utils 的一个核心组成部分。
在该帖子中,作者(Andres Freund)指出,有一些用于测试的tarballs被添加到了代码中,但最终却被用于通过对配置脚本的添加来设置后门。该问题被记录在CVE-2024-3094下,这个CVE ID是在公开漏洞后由Red Hat发出的。恶意代码已知存在于5.6.0和5.6.1版本中。
事件影响
根据Red Hat的通告:
在适当的情况下,这种干扰可能使攻击者有机会破坏sshd认证,并远程获取对整个系统的未授权访问权限。
根据Openwall帖子:
XZ Utils == 5.6.0
XZ Utils == 5.6.1
截止目前,已知以下 Linux 发行版受影响:
发行版 | 安全公告 |
Fedora 41 | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users |
Fedora Rawhide(开发版) | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users |
Debian sid, trixie(不稳定版) | https://security-tracker.debian.org/tracker/CVE-2024-3094 |
archlinux | https://security.archlinux.org/CVE-2024-3094 |
截止目前,已知以下 Linux 发行版不受影响:
发行版 | 安全公告 |
Fedora 40 | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users |
RedHat 全部版本 | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users |
Debian 所有稳定版 | https://security-tracker.debian.org/tracker/CVE-2024-3094 |
SUSE 全部版本 | https://www.suse.com/security/cve/CVE-2024-3094.html |
1/长亭工具排查
牧云本地检测方案
检测方法
下载本地专项检测工具,下载后运行适合操作系统和 CPU 架构的版本,如:
xz_cve_2024_3094_scanner_linux_amd64 scan
若输出结果包含“是否存在漏洞:是”或“VulnFound: true”则说明存在后门。
https://stack.chaitin.com/tool/detail/1286
2/查询版本
查看结果是否为5.6.0或5.6.1
3/自查脚本
(来自Openwall帖子原作者)
