2024/3/29 早上看到這個安全問題,突然就醒過來了~ XD
XZ Utils 這個安全性漏洞可能允許使用者繞過 sshd 的身分驗證,直接遠端進去機器~
- 主要影響套件: liblzma 函式庫版本(XZ Utils 5.6.0、5.6.1)
XZ Utils 後門事件新聞 與 檢查程式
先整理影響哪些系統,檢查是否有此漏洞的程式的資料
- Debian Linux:
- stable: 沒影響
- testing, unstable, experimental: 有影響,需要更新 xz-utils套件
- Ubuntu Linux: 沒影響
- Red Hat Enterprise Linux(RHEL): 沒影響
- 其它有影響的:Fedora 41、42、Kali Linux、openSUSE Tumbleweed
檢查是否有此漏洞的程式:scripts/xz_cve-2024-3094-detect.sh at main · cyclone-github/scripts · GitHub,操作步驟:
- wget https://raw.githubusercontent.com/cyclone-github/scripts/main/xz_cve-2024-3094-detect.sh
- chmod +x xz_cve-2024-3094-detect.sh
- ./xz_cve-2024-3094-detect.sh
- Checking for function signature in liblzma...
- Function signature in liblzma: OK
- Checking xz version using dpkg package manager...
- xz version 5.2.5-2.1~deb11u1: OK
- 出現上述就沒事~
新聞可見
- oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise
- XZ Utils backdoor update: Which Linux distros are affected and what can you do? - Help Net Security
- Inside the failed attempt to backdoor SSH globally — that got caught by chance
下面這些新聞是後續整理的中文版新聞
- XZ Utils庫驚爆後門,多個Linux版本受害!駭客可遠端取得系統控制權
- XZ Utils XZ Utils資料壓縮程式庫的5.6.0和5.6.1兩個版本中,藏有可供駭客遠端操控系統的漏洞CVE-2024-3094,CVSS評分為10.0,被列為最高等級的嚴重漏洞
- 駭客透過一連串的混淆手法,竄改了 liblzma程式庫 的關鍵功能。受污染的程式庫一旦被其他軟體載入使用,就會啟動隱藏的惡意運作,干擾SSH遠端登入服務的sshd防護程序,並可能允許攻擊者繞過SSHD身份驗證,遠端取得對系統的未經授權訪問。一旦身份驗證被繞過,駭客即可在網路上遙控受害系統。
- XZ Utils後門事件更新:那些Linux版本受影響?
- 使用者應該遵循各自Linux發行版本維護團隊的指示,並且可透過檢查Script來確認系統是否使用了受駭的liblzma函式庫版本
- XZ Utils 5.6.0和5.6.1版本受到駭客入侵。後門程式碼植入於套件的liblzma庫中,該庫會被sshd(SSH守護程序)使用,用於監聽SSH連線
- 震撼整個IT界的XZ程式庫遭植入後門事件,之所以浮上檯面純屬意外!快速了解這項危機的三大關鍵
