看板Gossiping
1.媒體來源:
ithome
2.記者署名:
羅正漢
3.完整新聞標題:
使用SSHD連接到系統的用戶當心!因為駭客供應鏈攻擊鎖定XZ Utils庫植入隱密後門,多
個Linux發行版受影響
4.完整新聞內文:
研究人員Andres Freund在3月29日揭露XZ Utils資料壓縮程式庫被植入後門,同日Red
Hat也發布相關緊急安全通告,指出CVE-2024-3094是CVSS v3風險層級滿分10分的漏洞,
已確定Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed/MicroOS,部分
Debian版本受影響
https://i.imgur.com/Qd82MAm.jpeg
今天週六早上,以揭露Exchange重大漏洞ProxyLogon聞名的臺灣資安研究人員Orange
Tsai,還有其他國內資安社群成員,都在社群平臺發文針對一項關於SSHD的供應鏈攻擊提
出探討與示警。
這是因為,研究人員Andres Freund在3月29日於Openwall公布一起涉及SSH伺服器的供應
鏈攻擊狀況,並指出問題出在XZ Utils資料壓縮程式庫被植入後門,另也說明Red Hat已
將此漏洞指派為CVE-2024-3094,且給出CVSS v3風險層級滿分10分。
此事件影響廣泛,Andres Freund表示,他是在調查SSH登入變慢相關問題時,最初以為發
現debian裡面的套件包被入侵,但事實上是來自上游的問題,XZ程式庫與XZ的tarball檔
案被植入後門,也就是一樁軟體供應鏈攻擊事件。這也再次顯現開源軟體供應鏈安全的重
要性。
關於此次後門的影響,在Red Hat發布的緊急安全通告中也有說明,惡意程式碼修改了XZ
Utils套件中名為liblzma部分程式碼的功能,這也導致每一軟體連結到XZ Utils,並允許
變更與程式庫一起使用的資料,都會受到影響。而Freund所觀察到的例子,在某些特定條
件下,這個後門可讓攻擊者繞過SSHD(Secure Shell Daemon)的身分認證機制,進而針
對受影響的系統做到未經授權的存取。
至於有哪些版本受影響,以XZ Utils資料壓縮程式庫而言,Andres Freund指出受影響的
版本是XZ Utils的5.6.0和5.6.1;以其他使用XZ Utils的軟體系統而言,目前已確認多個
多個Linux發行版本受影響,包括:Fedora Rawhide、Fedora 41、Kali Linux、
openSUSE Tumbleweed與openSUSE MicroOS,以及部分Debian版本。
美國CISA也已經對此提出警告,並建議建議開發人員與使用者可先將XZ Utils降級、恢復
到未被入侵的版本,如XZ Utils 5.4.6穩定版。同時用戶也該進行事件回應、清查入侵狀
況,以確定是否可能已經受到後門的影響。
5.完整新聞連結 (或短網址)不可用YAHOO、LINE、MSN等轉載媒體:
https://www.ithome.com.tw/news/162040
6. 備註:
出大事了
記得之前美國大學也寫過論文 就是研究在用類似手法向linux kernel值入後門
他們成功的將漏洞值入linux中,但和這次不同的是他們發了論文並撤回commit
(雖然被他們社區訐譙,然後被禁止他們大學的權限)
這次如果沒有偶然被發現 後果將不堪設想
以前的openssl漏洞和log4j漏洞我覺得和這次本質上是一樣的
開源社區嚴重缺乏人手
很多廣泛使用的項目,維護者只有小貓兩三隻
有人願意幫忙寫程式就幫大忙了,誰還有時間做完整的安全審查
--
※ 批踢踢實業坊(ptt.cc), 來自: 220.134.21.189 (臺灣)※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1711881156.A.25E.html
→ xzcb2008: 被發現了q.q 36.232.235.239 03/31 18:34
推 zero00072: 難怪最近退到5.4版。不過我都換成用zst 223.141.2.136 03/31 18:36
→ zero00072: d。 223.141.2.136 03/31 18:36
推 AgentSkye56: 嗯嗯 跟我想的一樣 49.216.23.147 03/31 18:40