首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

紧急提醒!Xzliblzma 被植入源码级后门

目前迹象表明,后门作者有选择性地针对 linux 发行版下手。但这个 liblzma 可不只Linux上用。...后门事件回顾 xz是一种通用的数据压缩格式,几乎存在于每个Linux发行版中,无论是社区项目还是商业产品发行版。...通过一系列复杂的混淆手段,liblzma的构建过程从伪装成测试文件的源代码中提取出预构建的目标文件,然后用它来修改liblzma代码中的特定函数。...虽然OpenSSH没有直接链接到liblzma库,但它以一种使其暴露于恶意软件的方式与systemd通信,因为systemd链接到了liblzma。 恶意构建会通过systemd干扰sshd的认证。...以下Linux发行版确认不受影响: Fedora Linux 40 https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

81860

liblzmaxz 后门高危漏洞

目前受到影响 xz-utils 版本为5.6.0 和 5.6.1版,而且这些受影响的版本已经被多个 Linux 发行版合并。...作为一款流行的压缩软件,liblzma/xz被各Linux发行版广泛使用,因此此安全漏洞的影响面较广。 漏洞危害等级:高危。 漏洞影响范围:5.6.0<=xz-utils<=5.6.1。...几乎存在于每个 Linux 发行版中,包括社区项目和商业产品发行版。从本质上讲,它有助于将大文件格式压缩(然后解压缩)为更小、更易于管理的大小,以便通过文件传输进行共享。...目前排查结果显示 Red Hat Enterprise Linux(RHEL)没有任何版本受到影响。...Anolis OS 操作系统 liblzma/xz漏洞分析 Anolis OS 8.8 liblzma/xz版本为5.2.4,分析不在漏洞影响范围内,具体通告以官方为准。

55910
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    CVE-2024-3094:Linux生态供应链攻击

    这个代码一共存活了不到2个月的时间,发现者是PostgreSQL 开发人员兼软件工程师 Andres Freund 意外发现的,在观察到 liblzma(xz 包的一部分)Debian sid(使用 ssh...幸运的是,xz 5.6.0 和 5.6.1 尚未被 Linux 发行版广泛集成,而且大部分是在预发行版本中。 但是kali linux如果每周更新或者最近3月26到29号之间更新了,不好意思。...根据kali官方说法希望更新, 首先我们apt-cache policy liblzma5 更新命令 sudo apt update && sudo apt install -y -...-only-upgrade liblzma5 更新 难的追一回滚动更新就这样玩吗?...,因为他写的有bug在sshd运行的时候直接cpu飙升,引起了研究员的注意,否则如果在发行版中大规模集成,估计可以造成linux的一个通杀,现在只是在预发行版中,但是更新快的比如kali linux中如果滚动更新那么就会被影响到

    27710

    原创 Paper | xz-utils 后门代码分析

    作者:0x7F@知道创宇404实验室 时间:2024年4月29日 1 前言 xz-utils 是一种使用 LZMA 算法的数据压缩/解压工具,文件后缀名通常为 *.xz,是 Linux 下广泛使用的压缩格式之一...版本为 5.6.0 和 5.6.1,影响范围包括 Debian、Ubuntu、Fedora、CentOS、RedHat、OpenSUSE 等多个主流 Linux 发行版,具体影响版本主要是以上发行版的测试版本和实验版本...攻击者将后门目标定向至 sshd 服务,这能使后门在具备隐蔽性的同时产生更大的攻击效益,不过默认情况下 sshd 服务和 xz-utils 并没有联系;部分 Linux 发行版(以Debian为例)在...3 分析环境配置 参考资料 首先我们搭建分析环境,由于 xz-utils 后门事件披露后各 Linux 发行版为降低影响范围对 xz-utils/liblzma.so 进行了版本回退,以及攻击者只在...https://elixir.bootlin.com/glibc/latest/source/sysdeps/generic/ldsodefs.h#L237 [15] https://man7.org/linux

    46810

    他潜伏三年想插它后门,最终还是输给了另一个他

    进一步溯源发现 SSH 使用的上游 liblzma 库被植入了后门代码,恶意代码可能允许攻击者通过后门版本的 SSH 非授权获取系统的访问权限。...恶意代码修改了 liblzma 代码中的函数,该代码是 XZ Utils 软件包的一部分,链接到 XZ 库的任何软件都可以使用此修改后的代码,并允许拦截和修改与该库一起使用的数据。...今天这篇文章要从 xz/liblzma 项目的维护者 Lasse Collin 开始讲起。xz/liblzma 虽然是个不起眼的小项目,但对于 Lasse 来说,它承载了自己多年的心血。...PS:先科普一下,XZ 是一种通用的数据压缩格式,几乎存在于每个 Linux 发行版中。...XZ Utils 是一个命令行工具,包含 XZ 文件和 liblzma 的压缩和解压缩功能,而 liblzma 是一种用于数据压缩的类似 zlib 的 API,并且还支持旧版。lzma 格式。

    36810

    xz爆出10分的核弹级漏洞,开源社区的仓库都被炸没了

    2024年,有人发现并报告了一个上游 XZ/liblzma 库中的后门,这个后门可能导致 SSH 服务器被攻陷。...漏洞发现毫不夸张的讲,这个漏洞差一点点就流入了linux各个发行版中了,如果成功被植入了,将会造成恐怖级的后果,相当于有人拿了一把万能钥匙,可以随时进出金库的大门,将会给世界的各个行业带来不可估量的损失...,因为世界大部分行业后端服务器用的操作系统都是linux的各个发行版,像Redhat、Ubuntu、Fedora等,而xz又是非常基础的压缩组件,基本上都会默认安装。...一个名叫Andres Freund的测试人员观察到在 Debian sid 安装上使用 liblzma(xz 包的一部分)时出现了一些异常症状,通过 SSH 登录时 CPU 使用率异常高,对 sshd...进行分析,显示 liblzma 占用了很多 CPU 时间,但 perf 无法将其归因于任何符号。

    30110

    CVE-2024-3094:XZ工具中新发现的后门

    使用 glibc 以及 xz 或 liblzma 版本 5.6.0 或 5.6.1 的系统,尤其是那些带有 systemd 和已修补 OpenSSH 的系统,容易受到攻击。...从去混淆的脚本中可以看出,只有 Linux x86_64 的某些版本容易受到攻击,因为该脚本旨在“决定”是否修改构建过程,如下所示: 图 1: 此函数验证目标操作系统是否为 x86-64 Linux。...图 2:注入的脚本 然后,更改后的构建过程在编译 liblzma 库期间包含了恶意文件。...补救措施 Fedora Linux 40 和 Rawhide openSUSE Kali Linux Alpine Debian(不稳定) Arch 强烈建议用户立即停止使用 xz-utils 压缩工具并降级到...最后,这是一份已知受影响的 Linux 发行版、版本和补救步骤链接的列表: Fedora Linux 40 and Rawhide openSUSE Kali Linux Alpine Debian (

    62720

    原创 Paper | 从 XZ 后门学奇技淫巧

    XZ后门利用了这一特性,在liblzma.so依赖库文件被加载时,自动运行后门代码。...然后使用patchelf工具,修改二进制程序的RPATH为liblzma.so的路径:patchelf --set-rpath /home/ubuntu/xz-utils-vul/src/liblzma...但是在XZ事件后门文件liblzma.so中,却没有发现任何异常字符串,尽管我们了解到XZ后门是针对SSH服务的关键函数进行hook,但是在liblzma.so中并未包含任何sshd相关的字符串,这是因为...已经有人针对该算法把liblzma.so中的字符串进行提取,可以参考提取出的字符串和提取字符串的代码。...研究XZ后门的过程通常涉及自行在本地编译liblzma.so文件。由于编译环境的不同,导致编译出来的偏移地址可能会略有差异。

    20510

    ldd命令排查文件crash的问题

    因为二进制文件被调用之前,优先调用了系统的/lib/ld-linux.so.2,这个动态库是一个可执行文件;该动态库运行的时候根据设置的环境变量,选择 显示的属性:可执行文件对应的依赖;所以其实是ld-linux.so....2这个模块把可执行二进制文件或者库文件的依赖显示出来了; 如果我们运行ld-linux.so.2这个模块,发现有一个--list参数,对于模块文件,我们除了用 ldd命令,也可以用ld-linux.so...librt.so.1 (0x00007f90e511b000) libselinux.so.1 => /lib64/libselinux.so.1 (0x00007f90e4ef4000) liblzma.so....5 => /lib64/liblzma.so.5 (0x00007f90e4cce000) liblz4.so.1 => /lib64/liblz4.so.1 (0x00007f90e4ab9000....2 (0x00007f90e3fc7000) libgcc_s.so.1 => /lib64/libgcc_s.so.1 (0x00007f90e3db1000) /lib64/ld-linux-x86

    1.8K50
    领券