設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

Linux 圈“地震”:主流壓縮工具 XZ 被曝后門,紅帽、Debian 等發(fā)公告要求緊急停用

2024/3/30 16:44:56 來源:IT之家 作者:故淵 責(zé)編:故淵
感謝IT之家網(wǎng)友 吾愛317、Navi21、清風(fēng)朗月、沛霖、Diixx、Coje_He、Aaron212 的線索投遞!

IT之家 3 月 30 日消息,Red Hat 公司本周五發(fā)布安全公告,在最新的 XZ Utils 數(shù)據(jù)壓縮工具和庫中發(fā)現(xiàn)了一個后門,敦促用戶立即停止使用 Fedora 開發(fā)和實驗版本。

Red Hat 警告表示:

請立即停止在工作或者個人活動中使用任意 Fedora 41 或者 Fedora RAWHIDE 實例。目前排查結(jié)果顯示 Red Hat Enterprise Linux(RHEL)沒有任何版本受到影響。

我們已經(jīng)在適用于 Debian unstable(Sid)發(fā)行版的 XZ 5.6.x 版本中找到相關(guān)證據(jù),證明存在后門,可以注入相關(guān)代碼。

Debian 安全團隊今天也發(fā)布公告,表示當(dāng)前沒有發(fā)現(xiàn)有穩(wěn)定版 Debian 使用問題 XZ 軟件包,在受影響的 Debian 測試版、不穩(wěn)定版和實驗版中,XZ 已被還原為上游的 5.4.5 代碼。

微軟軟件工程師安德烈斯?弗羅因德(Andres Freund)在一臺 Linux 盒子上調(diào)查 Debian Sid(Debian 發(fā)行版的滾動開發(fā)版本) SSH 登錄緩慢問題時,發(fā)現(xiàn)了這個安全問題。

弗羅因德發(fā)現(xiàn) XZ 格式壓縮實用程序 xz-utils 的上游源代碼壓縮包已被破解,并在構(gòu)建時向生成的 liblzma5 庫中注入惡意代碼。弗羅因德表示目前并未找到在 XZ 5.6.0 和 5.6.1 版本中添加惡意代碼的確切目的。

Red Hat 現(xiàn)正跟蹤這一供應(yīng)鏈安全問題,將其命名為 CVE-2024-3094,并將其嚴(yán)重性評分定為 10/10,同時在 Fedora 40 測試版中恢復(fù)使用 5.4.x 版本的 XZ。

XZ Utils 是為 POSIX 平臺開發(fā)具有高壓縮率的工具。它使用 LZMA2 壓縮算法,生成的壓縮文件比 POSIX 平臺傳統(tǒng)使用的 gzip、bzip2 生成的壓縮文件更小,而且解壓縮速度也很快。

IT之家附上參考地址

廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:LinuxXZ,linux

軟媒旗下網(wǎng)站: IT之家 最會買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機APP應(yīng)用 魔方 最會買 要知