最后更新于2024年4月5日(星期五)20:45:11 GMT

3月29日星期五,在调查了Debian侧环境中的异常行为后,开发人员 Andres Freund contacted an open-source security mailing list 分享他在广泛使用的命令行工具XZ Utils (liblzma)中发现了一个上游后门. The backdoor, 由一个在该工具上工作了几年的开源提交者添加, affects XZ Utils versions 5.6.0 and 5.6.1. It has been assigned CVE-2024-3094.

According to Red Hat’s advisory

“xz版本中存在恶意注入.6.0 and 5.6.1个库被混淆了,只完整地包含在下载包中——Git发行版缺少触发恶意代码构建的M4宏. 第二阶段的工件存在于Git存储库中,用于在构建时进行注入, in case the malicious M4 macro is present.

由此产生的恶意构建会通过systemd干扰sshd中的身份验证.  SSH是一种用于远程连接系统的常用协议, SSHD是允许访问的服务.  在适当的情况下,这种干扰可能使恶意行为者能够破坏sshd身份验证并获得对整个系统的远程未经授权的访问.”

社区正在对该后门进行分析. 幸运的是,多亏了弗洛伊德的发现,这个工具的后门版本 did not affect stable branches 在大多数主要的Linux发行版中,它不太可能被应用到任何生产系统中. 风险最大的用户可能是开发人员, 其中许多人倾向于运行最新版本的Linux.

Mitigation Guidance

XZ Utils用户应该立即降级到旧版本的实用程序(例如.e., any version before 5.6.0),并根据发行版维护者的指示更新其安装和软件包.

主要的Linux发行版和软件包维护者已经发布了更新指南. 以下是受影响和未受影响的发行版列表-请参阅个别发行版和软件包建议,以获取最新信息和补救指导.

Affected distributions (as of March 31)

Debian

不稳定/仅限sid -“版本从5.5.1alpha-0.1个(上传时间:2024-02-01),不超过5个.6.1-1.”

Kali Linux

系统更新时间为2024年3月26日至3月29日

OpenSUSE

Tumbleweed和MicroOS将于2024年3月7日至3月28日发布

Arch Linux

  • Installation medium 2024.03.01
  • Virtual machine images 20240301.218094 and 20240315.221711
  • 在2024年2月24日和2024年3月28日之间创建的容器映像

Red Hat

Fedora Rawhide and Fedora 40 Linux beta

以下发行版表明它们是 not affected:

请注意,随着我们对该威胁了解的更多,有关受影响版本或可利用性需求的信息可能会发生变化.

Rapid7 Customers

InsightVM和expose客户可以通过身份验证和基于代理的包版本检查来评估他们对CVE-2024-3094的暴露程度, available as of the April 1, 2024 content release.

InsightCloudSec客户可以使用以下工具评估他们的云资源 主机和容器脆弱性评估 capabilities. When enabled, customers can go to ‘Vulnerabilities > Software’ and add the following filter:

  • Software Name contains xz
  • Software Version starts with 5.6

客户还可以在选中“显示无漏洞软件”框的情况下搜索“xz”,以查看该软件的所有部署版本.


Rapid7 Labs has shared this Velociraptor artifact 帮助搜索已安装的易受攻击的软件包.

Blog Updates

April 2, 2024在今天(4月1日)的内容发布中,InsightVM和expose客户将能够通过身份验证和基于代理的漏洞检查来评估他们对CVE-2024-3094的暴露. 使用最新版本InsightCloudSec的客户还可以评估其云资源的暴露情况.