红帽公司周五发布了“紧急安全警报”，警告称流行的数据压缩库XZ Utils（以前称为 LZMA Utils）的两个版本已被恶意代码植入后门，旨在允许未经授权的远程访问。

软件供应链妥协的编号为CVE-2024-3094，CVSS 评分为 10.0，表明严重程度最高。它影响 XZ Utils 版本 5.6.0（2 月 24 日发布）和 5.6.1（3 月 9 日发布）。

IBM 子公司在一份公告中表示： “通过一系列复杂的混淆，liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件，然后用于修改 liblzma 代码中的特定功能。”

“这会产生一个修改后的 liblzma 库，任何与该库链接的软件都可以使用该库，拦截并修改与该库的数据交互。”

具体来说，代码中包含的恶意代码旨在通过systemd软件套件干扰 SSH（安全 Shell）的 sshd 守护进程，并可能使威胁参与者能够破坏 sshd 身份验证并在“以下情况下”远程获得对系统的未经授权的访问：正确的情况。”

微软安全研究员 Andres Freund 被认为在周五发现并报告了这个问题。据说，经过严重混淆的恶意代码是由一位名叫 Jia Tan (JiaT75) 的用户通过对 GitHub 上Tukaani 项目的一系列四次提交引入的。
“鉴于活动持续了数周，提交者要么直接参与其中，要么他们的系统受到了一些相当严重的损害，”弗罗因德说。 “不幸的是，考虑到他们在各种列表上就‘修复’进行了沟通，后者看起来不太可能是解释。”

微软旗下的 GitHub 此后禁用了 Tukaani 项目维护的 XZ Utils 存储库，“因为违反了 GitHub 的服务条款”。目前还没有关于在野外进行积极利用的报道。

有证据表明，这些软件包仅存在于 Fedora 41 和 Fedora Rawhide 中，并且不会影响 Red Hat Enterprise Linux (RHEL)、Debian Stable、Amazon Linux以及 SUSE Linux Enterprise 和 Leap。

出于谨慎考虑，建议 Fedora Linux 40 用户降级到 5.4 版本。受供应链攻击影响的其他一些 Linux 发行版如下：

Kali Linux（3 月 26 日至 29 日期间）
openSUSE Tumbleweed 和 openSUSE MicroOS（3 月 7 日至 28 日期间）
Debian 测试、不稳定和实验版本（从 5.5.1alpha-0.1 到 5.6.1-1）
这一进展促使美国网络安全和基础设施安全局（CISA）发布了自己的警报，敦促用户将XZ Utils降级到未受影响的版本（例如，XZ Utils 5.4.6 Stable）。

文章原文链接:https://www.anquanke.com/post/id/295168