腾讯云公告 > 公告详情
扫码查看公告
【安全通告】XZ-Utils / liblzma 被投毒植入恶意代码风险通告(CVE-2024-3094)
尊敬的腾讯云用户,您好!
腾讯云安全中心监测到, XZ-Utils被披露出被投毒植入恶意后门,漏洞编号CVE-2024-3094。可导致受害者机器被远程控制执行恶意操作等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
XZ 是类 Unix 操作系统上的一种无损数据压缩格式,类似于 gzip 和 bzip2 等其他常见数据压缩格式。 XZ-Utils 是一个命令行工具,包含 XZ 文件和 liblzma 的压缩和解压缩功能,liblzma是XZ-Utils依赖的一个压缩库,提供了类似于zlib的编程接口,用于实现LZMA算法,允许开发者在他们的应用程序中集成LZMA压缩和解压缩功能。
从 5.6.0 版本开始,XZ 的上游 tarball 中发现被投毒植入了恶意代码。 恶意代码修改了XZ Utils包中liblzma库的函数,可能导致任何链接到XZ库的软件能够拦截和修改数据。在特定条件下,该后门可能允许恶意行为者破坏sshd认证,从而获得对受影响系统的访问权限。
风险等级
高风险
漏洞风险
可导致受害者机器被远程控制执行恶意操作
影响版本
XZ-Utils >= 5.6.0(5.6.0,5.6.1)
安全版本
XZ-Utils < 5.6.0
修复建议
排查XZ-Utils的版本,对XZ-Utils进行降级处理,降级到5.6.0 以下版本
可使用以下命令检查xz的版本:
`xz -V` 或 `xz -version`
可使用以下命令检查xz的版本:
`xz -V` 或 `xz -version`
各Linux发行版用户也可参考官方发布的安全通告进行排查修复:
Red Hat用户 ,参考:https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Debian用户,参考:https://lists.debian.org/debian-security-announce/2024/msg00057.html
Red Hat用户 ,参考:https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Debian用户,参考:https://lists.debian.org/debian-security-announce/2024/msg00057.html
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://nvd.nist.gov/vuln/detail/CVE-2024-3094https://www.openwall.com/lists/oss-security/2024/03/29/4
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://lists.debian.org/debian-security-announce/2024/msg00057.html
2024-03-30