服务公告

最新产品资讯、服务公告、官网动态一手掌握

服务公告 > 行业资讯 > XZ-Utils / liblzma 被投毒植入恶意代码风险通告(CVE-2024-3094)

XZ-Utils / liblzma 被投毒植入恶意代码风险通告(CVE-2024-3094)

发布时间:2024-04-19 11:48
尊敬的鸿梦云用户,您好!
    XZ-Utils被披露出被投毒植入恶意后门,漏洞编号CVE-2024-3094。可导致受害者机器被远程控制执行恶意操作等危害。
为避免您的业务受影响,鸿梦云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
XZ 是类 Unix 操作系统上的一种无损数据压缩格式,类似于 gzip 和 bzip2 等其他常见数据压缩格式。 XZ-Utils 是一个命令行工具,包含 XZ 文件和 liblzma 的压缩和解压缩功能,liblzma是XZ-Utils依赖的一个压缩库,提供了类似于zlib的编程接口,用于实现LZMA算法,允许开发者在他们的应用程序中集成LZMA压缩和解压缩功能。

从 5.6.0 版本开始,XZ 的上游 tarball 中发现被投毒植入了恶意代码。 恶意代码修改了XZ Utils包中liblzma库的函数,可能导致任何链接到XZ库的软件能够拦截和修改数据。在特定条件下,该后门可能允许恶意行为者破坏sshd认证,从而获得对受影响系统的访问权限。
风险等级
高风险
漏洞风险
可导致受害者机器被远程控制执行恶意操作
影响版本
XZ-Utils >= 5.6.0(5.6.0,5.6.1)

安全版本
XZ-Utils < 5.6.0

修复建议
排查XZ-Utils的版本,对XZ-Utils进行降级处理,降级到5.6.0 以下版本

可使用以下命令检查xz的版本:
`xz -V` 或 `xz -version`

各Linux发行版用户也可参考官方发布的安全通告进行排查修复:
Red Hat用户 ,参考:https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Debian用户,参考:https://lists.debian.org/debian-security-announce/2024/msg00057.html
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考

https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://lists.debian.org/debian-security-announce/2024/msg00057.html


5+款云服务产品 即刻开始您的上云之旅
立即购买