xz 遭受恶意代码攻击,众多 Linux 发行版受影响
红帽发布了一份“针对 Fedora Linux 40 和 Fedora Rawhide 用户的紧急安全警报”指出,最新版本的 xz 5.6.0/5.6.1 工具和库中包含恶意代码,可能允许未经授权的远程系统访问。
xz 是一种通用数据压缩格式,几乎存在于每个 Linux 发行版中,包括社区项目和商业产品发行版。从本质上讲,它有助于将大文件格式压缩(然后解压缩)为更小、更易于管理的大小,以便通过文件传输进行共享。
红帽已经该漏洞标记为 CVE-2024-3094。目前的调查表明,这些软件包仅存在于 Red Hat 社区生态系统内的 Fedora 41 和 Fedora Rawhide 中,Red Hat Enterprise Linux (RHEL) 的所有版本均不受影响。此外,Debian 也就 XZ utils 中的恶意代码发布了类似的安全信息。其他发行版也可能受到影响,建议用户应咨询其发行商以获得指导。
Fedora Linux 40 用户可能已收到 5.6.0 版本,具体取决于系统更新的时间。Fedora Rawhide 用户可能已收到 5.6.0 或 5.6.1 版本。“请立即停止将任何 Fedora RAWHIDE 实例用于工作或个人活动。 Fedora Rawhide 很快就会恢复到 xz-5.4.x,一旦完成,Fedora Rawhide 实例就可以安全地重新部署。”
Fedora Linux 40 版本尚未被证明受到损害,红帽方面认为恶意代码注入在这些版本中并未生效。不过为了安全起见,建议 Fedora Linux 40 用户仍应降级到 5.4 版本。已发布了将 xz 恢复为 5.4.x 的更新,Fedora Linux 40 用户可以通过正常更新系统使用该更新。
安全研究人员 Andres Freund 进行的逆向工程分析发现,恶意代码使用巧妙的技术来逃避检测。更多详情可查看此 oss-security 列表。
值得一提的是,目前 GitHub 已全面禁用了 tukaani-project/xz 仓库,并附有一条信息:
由于违反了 GitHub 的服务条款,GitHub 工作人员已禁止访问该版本库。如果您是该版本库的所有者,可以联系 GitHub 支持部门了解详情。
