liblzma/xz官方库被植入后门
xz是一种通用的数据压缩格式,几乎存在于每个Linux发行版中,无论是社区项目还是商业产品发行版。从5.6.0版本开始,在xz的上游tarball包中发现了恶意代码。通过一系列复杂的混淆手段,liblzma的构建过程从伪装成测试文件的源代码中提取出预构建的目标文件,然后用它来修改liblzma代码中的特定函数。这导致生成了一个被修改过的liblzma库,任何链接此库的软件都可能使用它,从而拦截并修改与此库的数据交互。
2024年3月28日,Ubuntu注意到一个上游的漏洞影响了xz-utils源代码包。受影响的库已经从Ubuntu 24.04 LTS预发布构建中移除。
3月29日,微软PostgreSQL开发人员Andres Freund在调查SSH性能问题时,在开源安全邮件列表中发帖称,他在xz软件包中发现了一个涉及混淆恶意代码的供应链攻击。据Freund和RedHat称,Git版的xz中没有恶意代码,只有完整下载包中存在。
xz 5.6.0和5.6.1版本库中存在的恶意注入只包含在tarball下载包中。注入期间构建时使用的第二阶段工件存在于Git存储库中,以防存在恶意的M4宏。如果不合并到构建中,第二阶段文件是无害的。在发现者的演示中,发现它干扰了OpenSSH守护进程。虽然OpenSSH没有直接链接到liblzma库,但它以一种使其暴露于恶意软件的方式与systemd通信,因为systemd链接到了liblzma。在适当的情况下,这种干扰有可能使恶意行为体破坏sshd认证,并远程未经授权访问整个系统。
截至3月30日,尚未观察到利用此后门代码的情况。关于该漏洞的利用细节目前还未明确,微步情报局将继续深入跟进该事件,有进一步进展会随时更新。
影响范围
xz 和 liblzma 5.6.0~5.6.1 版本,可能包括的发行版 / 包管理系统有:
Fedora 41 / Fedora RawhideDebian SidAlpine Edgex64 架构的 homebrew
滚动更新的发行版,包括 Arch Linux / OpenSUSE Tumbleweed
如果您的系统使用 systemd 启动 OpenSSH 服务器,您的 SSH 认证过程可能被攻击。非 x64 (amd64) 架构的系统不受影响。
排查建议
1、排查软件版本是否在受影响范围内
您可以在命令行输入 xz --version 来检查 xz 版本,如果输出为 5.6.0 或 5.6.1 ,说明您的系统可能已被植入后门。
另外需要注意的是,xz 5.6.0 和 5.6.1 尚未被集成进Linux 发行版中,目前主要是在预发布版本中。除此之外,大部分的Linux发行版本中的openssh并不直接使用liblzma,目前已知的只有debian和一些openssh的补丁直接使用了liblzma。检测是否被植入后门请使用自查方法中的检测脚本。
2、如果相关版本在受影响范围内,利用如下自查脚本排查是否存在后门:
#! /bin/bash
set -eu
# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi
# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi
3、如果核实存在相关后门文件:
若确认受影响,请将xz降级至 5.4.6 版本。
微步漏洞情报
微步在线官方漏洞支持说明地址:https://x.threatbook.com/v5/vul/XVE-2024-6143?searchStr=XVE-2024-6143
参考地址
https://access.redhat.com/security/cve/CVE-2024-3094
https://bugzilla.redhat.com/show_bug.cgi?id=2272210
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
随时掌握互联网精彩
- 1 习近平乘专机离开巴西利亚 7940462
- 2 王宝强方回应涉嫌欺诈:无愧于心 7927417
- 3 王楚钦把对手拍子打掉了 7803429
- 4 建设网络强国 更好造福人民 7745659
- 5 湖南发现超40条金矿脉 7613067
- 6 王楚钦3-1淘汰德国名将晋级八强 7591750
- 7 黄执中在奇葩说都没有这么激动过 7418962
- 8 房贷利率下调月供反而多了 7361896
- 9 烧饼任德云社副总 7200430
- 10 “两新”政策支撑经济回升向好 7152015