最后更新于2024年5月28日星期二21:25:19 GMT
3月29日星期五,在调查了Debian侧环境中的异常行为后,开发人员 Andres弗洛伊德 联系了一个 开源安全邮件列表 分享他在广泛使用的命令行工具XZ Utils (liblzma)中发现了一个上游后门. 后门, 由一个在该工具上工作了几年的开源提交者添加, 影响XZ Utils版本5.6.0和5.6.1. 它已经被分配了 cve - 2024 - 3094.
根据红帽公司的说法 咨询 –
“xz版本中存在恶意注入.6.0和5.6.1个库被混淆了,只完整地包含在下载包中——Git发行版缺少触发恶意代码构建的M4宏. 第二阶段的工件存在于Git存储库中,用于在构建时进行注入, 以防恶意的M4宏存在.
由此产生的恶意构建会通过systemd干扰sshd中的身份验证. SSH是一种用于远程连接系统的常用协议, SSHD是允许访问的服务. 在适当的情况下,这种干扰可能使恶意行为者能够破坏sshd身份验证并获得对整个系统的远程未经授权的访问.”
社区正在对该后门进行分析. 幸运的是,多亏了弗洛伊德的发现,这个工具的后门版本 不影响稳定的分支吗 在大多数主要的Linux发行版中,它不太可能被应用到任何生产系统中. 风险最大的用户可能是开发人员, 其中许多人倾向于运行最新版本的Linux.
缓解指导
XZ Utils用户应该立即降级到旧版本的实用程序(例如.e., 5之前的任何版本.6.0),并根据发行版维护者的指示更新其安装和软件包.
主要的Linux发行版和软件包维护者已经发布了更新指南. 以下是受影响和未受影响的发行版列表-请参阅个别发行版和软件包建议,以获取最新信息和补救指导.
影响分布 (截至3月3日1)
不稳定/仅限sid -“版本从5.5.1α0.1个(上传时间:2024-02-01),不超过5个.6.1-1.”
系统更新时间为2024年3月26日至3月29日
Tumbleweed和MicroOS将于2024年3月7日至3月28日发布
- 安装介质2024.03.01
- 虚拟机镜像20240301.218094和20240315.221711
- 在2024年2月24日和2024年3月28日之间创建的容器映像
Fedora Rawhide和Fedora 40 Linux测试版
以下发行版表明它们是 不 影响:
请注意,随着我们对该威胁了解的更多,有关受影响版本或可利用性需求的信息可能会发生变化.
Rapid7客户
InsightVM和expose客户可以通过身份验证和基于代理的包版本检查来评估他们对cve - 2024 - 3094的暴露程度, 从4月1日开始发售, 2024年内容发布.
InsightCloudSec客户可以使用以下工具评估他们的云资源 主机和容器脆弱性评估 功能. When enabled, customers can go to ‘Vulnerabilities > Software’ 和 add the following filter:
- “软件名称”包含“xz”
- 软件版本以5开头.6
客户还可以在选中“显示无漏洞软件”框的情况下搜索“xz”,以查看该软件的所有部署版本.
Rapid7实验室分享了这一点 伶盗龙 工件 帮助搜索已安装的易受攻击的软件包.
博客更新
2024年4月2日在今天(4月1日)的内容发布中,InsightVM和expose客户将能够通过身份验证和基于代理的漏洞检查来评估他们对cve - 2024 - 3094的暴露. 使用最新版本InsightCloudSec的客户还可以评估其云资源的暴露情况.