谁也没想到, Xz/liblzma会被植入后门程序,据说微软连夜加班处理本次后门事件,主流云厂商们也都在加急排查风险和安全修复。
3月29日,微软公司的开发人员Andres Freund在调查SSH性能问题时,发现了xz软件包中一个涉及混淆恶意代码的供应链攻击。进一步溯源发现SSH使用的上游liblzma库被植入了后门代码,恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数,该代码是XZ Utils软件包的一部分,链接到 XZ 库的任何软件都可以使用此修改后的代码,并允许拦截和修改与该库一起使用的数据。
目前迹象表明,后门作者有选择性地针对 linux 发行版下手。但这个 liblzma 可不只Linux上用。比如目前流行的iOS越狱环境,大部分 tweak 包还是以 .deb 格式发行,比较新的版本就用到了 lzma 作为压缩。
Fedora Rawhide https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users Fedora Rawhide是Fedora Linux的开发版本。 Fedora 41 https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users Debian testing、unstable和 experimental版 5.5.1alpha-0.1到5.6.1-1 https://lists.debian.org/debian-security-announce/2024/msg00057.htm lUbuntu 24.04 LTS 目前受影响的库已经从Ubuntu 24.04 LTS预发布构建中移除。
Fedora Linux 40 https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users RedHat建议用户降级到5.4版XZ作为预防措施。 红帽企业版Linux(RHEL) https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users 所有RHEL版本均不受影响。 Debian https://lists.debian.org/debian-security-announce/2024/msg00057.html 所有Debian稳定版均未知受影响。
#! /bin/bash
set -eu
# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi
# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi
缓解措施
降级到5.6.0以下版本 更新到官方最新版5.6.4
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...