当前位置:首页 > 叨叨念念 > XZ-Utils / liblzma 被投毒植入恶意代码风险通告(CVE-2024-3094)

XZ-Utils / liblzma 被投毒植入恶意代码风险通告(CVE-2024-3094)

叨叨念念 / 星之宇 / 2024-3-31 16:52 / 浏览:388 / 评论:0

XZ-Utils被披露出被投毒植入恶意后门,漏洞编号CVE-2024-3094。可导致受害者机器被远程控制执行恶意操作等危害。


漏洞详情

XZ 是类 Unix 操作系统上的一种无损数据压缩格式,类似于 gzip 和 bzip2 等其他常见数据压缩格式。 XZ-Utils 是一个命令行工具,包含 XZ 文件和 liblzma 的压缩和解压缩功能,liblzma是XZ-Utils依赖的一个压缩库,提供了类似于zlib的编程接口,用于实现LZMA算法,允许开发者在他们的应用程序中集成LZMA压缩和解压缩功能。

从 5.6.0 版本开始,XZ 的上游 tarball 中发现被投毒植入了恶意代码。 恶意代码修改了XZ Utils包中liblzma库的函数,可能导致任何链接到XZ库的软件能够拦截和修改数据。在特定条件下,该后门可能允许恶意行为者破坏sshd认证,从而获得对受影响系统的访问权限。


影响版本

XZ-Utils >= 5.6.0(5.6.0,5.6.1)


安全版本

XZ-Utils < 5.6.0


修复建议

排查XZ-Utils的版本,对XZ-Utils进行降级处理,降级到5.6.0 以下版本,可使用以下命令检查xz的版本:xz -V或xz --version

目前有 0 条评论

    • 昵称
    • 邮箱
    • 网址