Linux 圈“地震”：主流壓縮工具 XZ 被曝后門，紅帽、Debian 等發(fā)公告要求緊急停用

IT之家 3 月 30 日消息，Red Hat 公司本周五發(fā)布安全公告，在最新的 XZ Utils 數(shù)據(jù)壓縮工具和庫中發(fā)現(xiàn)了一個(gè)后門，敦促用戶立即停止使用 Fedora 開發(fā)和實(shí)驗(yàn)版本。

Red Hat 警告表示：

請(qǐng)立即停止在工作或者個(gè)人活動(dòng)中使用任意 Fedora 41 或者 Fedora RAWHIDE 實(shí)例。目前排查結(jié)果顯示 Red Hat Enterprise Linux（RHEL）沒有任何版本受到影響。

我們已經(jīng)在適用于 Debian unstable（Sid）發(fā)行版的 XZ 5.6.x 版本中找到相關(guān)證據(jù)，證明存在后門，可以注入相關(guān)代碼。

Debian 安全團(tuán)隊(duì)今天也發(fā)布公告，表示當(dāng)前沒有發(fā)現(xiàn)有穩(wěn)定版 Debian 使用問題 XZ 軟件包，在受影響的 Debian 測試版、不穩(wěn)定版和實(shí)驗(yàn)版中，XZ 已被還原為上游的 5.4.5 代碼。

微軟軟件工程師安德烈斯?弗羅因德（Andres Freund）在一臺(tái) Linux 盒子上調(diào)查 Debian Sid（Debian 發(fā)行版的滾動(dòng)開發(fā)版本） SSH 登錄緩慢問題時(shí)，發(fā)現(xiàn)了這個(gè)安全問題。

弗羅因德發(fā)現(xiàn) XZ 格式壓縮實(shí)用程序 xz-utils 的上游源代碼壓縮包已被破解，并在構(gòu)建時(shí)向生成的 liblzma5 庫中注入惡意代碼。弗羅因德表示目前并未找到在 XZ 5.6.0 和 5.6.1 版本中添加惡意代碼的確切目的。

Red Hat 現(xiàn)正跟蹤這一供應(yīng)鏈安全問題，將其命名為 CVE-2024-3094，并將其嚴(yán)重性評(píng)分定為 10/10，同時(shí)在 Fedora 40 測試版中恢復(fù)使用 5.4.x 版本的 XZ。

XZ Utils 是為 POSIX 平臺(tái)開發(fā)具有高壓縮率的工具。它使用 LZMA2 壓縮算法，生成的壓縮文件比 POSIX 平臺(tái)傳統(tǒng)使用的 gzip、bzip2 生成的壓縮文件更小，而且解壓縮速度也很快。

IT之家附上參考地址

• Will Dormann

• CVE-2024-3094

• Urgent security alert for Fedora Linux 40 and Fedora Rawhide users

• [SECURITY] [DSA 5649-1] xz-utils security update

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。