Linux数据压缩库中发现CVE-2024-3094漏洞（XZ后门）

红帽公司周五发布了关于广泛使用的数据压缩工具 XZ Utils（以前称为 LZMA Utils）的两个版本的紧急安全公告，这些版本已受到针对未经授权的远程访问的恶意代码的破坏。

该安全漏洞被识别为 CVE-2024-3094，严重程度为 10.0，影响 XZ Utils 版本 5.6.0（2 月 24 日发布）和 5.6.1（3 月 9 日发布）。

根据红帽的说法，liblzma 库中的受损代码是在构建过程中通过复杂的过程注入的，从而允许拦截和修改数据交互。具体来说，该代码旨在篡改 systemd 软件套件中的 sshd 守护进程，从而可能在某些情况下允许对系统进行未经授权的访问。

后门允许通过 SSH 进行任意有效负载

JFrog 指出，该后门的最终目标是将代码注入 OpenSSH 服务器 (SSHD)，以允许具有特定私钥的特定远程攻击者在身份验证之前通过 SSH 执行任意负载，从本质上控制受害者的计算机。

该问题是由 Microsoft 安全研究员 Andres Freund 曝光的，他发现了一个名为 Jia Tan (JiaT75) 的用户通过对 Tukaani 项目的 GitHub 存储库进行一系列提交而引入的严重混淆的恶意代码。

微软旗下的 GitHub 因违反其服务条款而采取行动，禁用了 XZ Utils 存储库。截至目前，还没有关于在野外进行积极利用的案例的报道。

受影响的软件包仅在 Fedora 41 和 Fedora Rawhide 中发现，对其他发行版没有影响，例如 Alpine Linux、Amazon Linux、Debian Stable、Gentoo Linux、Linux Mint、Red Hat Enterprise Linux (RHEL)、SUSE Linux Enterprise 和 Leap和Ubuntu。