描述:
一個惡意後門被發現嵌入於 XZ Utils 的 5.6.0 及 5.6.1 版本。XZ Utils 是一個數據壓縮庫,並可能存在於一些 Linux 發行版本。未通過認證的遠端攻擊者可利用該後門,未經授權而接達受影響的系統。
數個產品供應商已發布有關一些 Linux 發行版本所使用的 XZ Utils 5.6.0 及 5.6.1 版本發現的後門的安全公告。不少報告揭示該後門問題 (CVE-2024-3094) 正處於被利用的高風險,並可讓惡意攻擊者未經授權接達受影響的系統。系統管理員應立即採取行動,以減低受到網絡攻擊的風險。
受影響的系統:
- XZ Utils 5.6.0 至 5.6.1 版本
影響:
成功利用該後門可以導致未經授權接達受影響的系統。
建議:
開發人員及用戶應將受影響的 XZ Utils 降級至已知不受影響的版本,例如 5.4.6 Stable。
Linux 系統的系統管理員應諮詢相應產品供應商有關正在使用的 Linux 發行版本是否受影響。如正在使用受影響的 Linux 發行版本,應立即停止使用相關版本,並遵從產品供應商的建議以降低風險。以下是已知受影響 Linux 發行版本的列表,但並不包括所有受影響版本:
- Debian Testing 及 Unstable
https://security-tracker.debian.org/tracker/CVE-2024-3094
https://lists.debian.org/debian-security-announce/2024/msg00057.html
- openSUSE Tumbleweed 及 MicroOS
https://news.opensuse.org/2024/03/29/xz-backdoor
- Fedora Rawhide 及 Fedora Linux 40 beta
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
進一步資訊:
- https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils
- https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094