选择你喜欢的标签
我们会为你匹配适合你的网址导航

    确认 跳过

    跳过将删除所有初始化信息

    liblzma/xz官方库被植入后门

    安全 2024-03-30 16:37

    声明:该文章来自(微步在线)版权由原作者所有,K2OS渲染引擎提供网页加速服务。

    xz是一种通用的数据压缩格式,几乎存在于每个Linux发行版中,无论是社区项目还是商业产品发行版。从5.6.0版本开始,在xz的上游tarball包中发现了恶意代码。通过一系列复杂的混淆手段,liblzma的构建过程从伪装成测试文件的源代码中提取出预构建的目标文件,然后用它来修改liblzma代码中的特定函数。这导致生成了一个被修改过的liblzma库,任何链接此库的软件都可能使用它,从而拦截并修改与此库的数据交互。

    2024年3月28日,Ubuntu注意到一个上游的漏洞影响了xz-utils源代码包。受影响的库已经从Ubuntu 24.04 LTS预发布构建中移除。

    3月29日,微软PostgreSQL开发人员Andres Freund在调查SSH性能问题时,在开源安全邮件列表中发帖称,他在xz软件包中发现了一个涉及混淆恶意代码的供应链攻击。据Freund和RedHat称,Git版的xz中没有恶意代码,只有完整下载包中存在。

    xz 5.6.0和5.6.1版本库中存在的恶意注入只包含在tarball下载包中。注入期间构建时使用的第二阶段工件存在于Git存储库中,以防存在恶意的M4宏。如果不合并到构建中,第二阶段文件是无害的。在发现者的演示中,发现它干扰了OpenSSH守护进程。虽然OpenSSH没有直接链接到liblzma库,但它以一种使其暴露于恶意软件的方式与systemd通信,因为systemd链接到了liblzma。在适当的情况下,这种干扰有可能使恶意行为体破坏sshd认证,并远程未经授权访问整个系统。

    截至3月30日,尚未观察到利用此后门代码的情况。关于该漏洞的利用细节目前还未明确,微步情报局将继续深入跟进该事件,有进一步进展会随时更新。

    影响范围

    xz 和 liblzma 5.6.0~5.6.1 版本,可能包括的发行版 / 包管理系统有:

    Fedora 41 / Fedora RawhideDebian SidAlpine Edgex64 架构的 homebrew

    滚动更新的发行版,包括 Arch Linux / OpenSUSE Tumbleweed

    如果您的系统使用 systemd 启动 OpenSSH 服务器,您的 SSH 认证过程可能被攻击。非 x64 (amd64) 架构的系统不受影响。

    排查建议

    1、排查软件版本是否在受影响范围内

    您可以在命令行输入 xz --version 来检查 xz 版本,如果输出为 5.6.0 或 5.6.1 ,说明您的系统可能已被植入后门。

    另外需要注意的是,xz 5.6.0 和 5.6.1 尚未被集成进Linux 发行版中,目前主要是在预发布版本中。除此之外,大部分的Linux发行版本中的openssh并不直接使用liblzma,目前已知的只有debian和一些openssh的补丁直接使用了liblzma。检测是否被植入后门请使用自查方法中的检测脚本。

    2、如果相关版本在受影响范围内,利用如下自查脚本排查是否存在后门:



    #! /bin/bash


    set -eu


    # find path to liblzma used by sshd

    path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"


    # does it even exist?

    if [ "$path" == "" ]

    then

    echo probably not vulnerable

    exit

    fi


    # check for function signature

    if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410

    then

    echo probably vulnerable

    else

    echo probably not vulnerable

    fi


    3、如果核实存在相关后门文件:

    若确认受影响,请将xz降级至 5.4.6 版本。

    微步漏洞情报

    微步在线官方漏洞支持说明地址:https://x.threatbook.com/v5/vul/XVE-2024-6143?searchStr=XVE-2024-6143

    参考地址

    https://access.redhat.com/security/cve/CVE-2024-3094

    https://bugzilla.redhat.com/show_bug.cgi?id=2272210

    https://www.openwall.com/lists/oss-security/2024/03/29/4

    https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

    关注我们

    [超站]友情链接:

    四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
    关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/

    图库