[新聞] XZ Utils庫植入隱密後門，多個Linux發行

1.媒體來源: ithome 2.記者署名: 羅正漢 3.完整新聞標題: 使用SSHD連接到系統的用戶當心！因為駭客供應鏈攻擊鎖定XZ Utils庫植入隱密後門，多 個Linux發行版受影響 4.完整新聞內文: 研究人員Andres Freund在3月29日揭露XZ Utils資料壓縮程式庫被植入後門，同日Red Hat也發布相關緊急安全通告，指出CVE-2024-3094是CVSS v3風險層級滿分10分的漏洞， 已確定Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed/MicroOS，部分 Debian版本受影響 https://i.imgur.com/Qd82MAm.jpeg 今天週六早上，以揭露Exchange重大漏洞ProxyLogon聞名的臺灣資安研究人員Orange Tsai，還有其他國內資安社群成員，都在社群平臺發文針對一項關於SSHD的供應鏈攻擊提 出探討與示警。 這是因為，研究人員Andres Freund在3月29日於Openwall公布一起涉及SSH伺服器的供應 鏈攻擊狀況，並指出問題出在XZ Utils資料壓縮程式庫被植入後門，另也說明Red Hat已 將此漏洞指派為CVE-2024-3094，且給出CVSS v3風險層級滿分10分。 此事件影響廣泛，Andres Freund表示，他是在調查SSH登入變慢相關問題時，最初以為發 現debian裡面的套件包被入侵，但事實上是來自上游的問題，XZ程式庫與XZ的tarball檔 案被植入後門，也就是一樁軟體供應鏈攻擊事件。這也再次顯現開源軟體供應鏈安全的重 要性。 關於此次後門的影響，在Red Hat發布的緊急安全通告中也有說明，惡意程式碼修改了XZ Utils套件中名為liblzma部分程式碼的功能，這也導致每一軟體連結到XZ Utils，並允許 變更與程式庫一起使用的資料，都會受到影響。而Freund所觀察到的例子，在某些特定條 件下，這個後門可讓攻擊者繞過SSHD（Secure Shell Daemon）的身分認證機制，進而針 對受影響的系統做到未經授權的存取。 至於有哪些版本受影響，以XZ Utils資料壓縮程式庫而言，Andres Freund指出受影響的 版本是XZ Utils的5.6.0和5.6.1；以其他使用XZ Utils的軟體系統而言，目前已確認多個 多個Linux發行版本受影響，包括：Fedora Rawhide、Fedora 41、Kali Linux、 openSUSE Tumbleweed與openSUSE MicroOS，以及部分Debian版本。 美國CISA也已經對此提出警告，並建議建議開發人員與使用者可先將XZ Utils降級、恢復 到未被入侵的版本，如XZ Utils 5.4.6穩定版。同時用戶也該進行事件回應、清查入侵狀 況，以確定是否可能已經受到後門的影響。 5.完整新聞連結 (或短網址)不可用YAHOO、LINE、MSN等轉載媒體: https://www.ithome.com.tw/news/162040 6. 備註: 出大事了 記得之前美國大學也寫過論文 就是研究在用類似手法向linux kernel值入後門 他們成功的將漏洞值入linux中，但和這次不同的是他們發了論文並撤回commit （雖然被他們社區訐譙，然後被禁止他們大學的權限） 這次如果沒有偶然被發現 後果將不堪設想 以前的openssl漏洞和log4j漏洞我覺得和這次本質上是一樣的 開源社區嚴重缺乏人手 很多廣泛使用的項目，維護者只有小貓兩三隻 有人願意幫忙寫程式就幫大忙了，誰還有時間做完整的安全審查 --
※ 批踢踢實業坊(ptt.cc), 來自: 220.134.21.189 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1711881156.A.25E.html

→ xzcb2008: 被發現了q.q 36.232.235.239 03/31 18:34

推 zero00072: 難怪最近退到5.4版。不過我都換成用zst 223.141.2.136 03/31 18:36

→ zero00072: d。 223.141.2.136 03/31 18:36

推 AgentSkye56: 嗯嗯 跟我想的一樣 49.216.23.147 03/31 18:40