Linux資料壓縮庫中發現CVE-2024-3094漏洞（XZ後門）

紅帽公司週五發布了關於廣泛使用的資料壓縮工具 XZ Utils（以前稱為 LZMA Utils）的兩個版本的緊急安全公告，這些版本已受到針對未經授權的遠端存取的惡意程式碼的破壞。

此安全漏洞被識別為 CVE-2024-3094，嚴重程度為 10.0，影響 XZ Utils 版本 5.6.0（2 月 24 日發布）和 5.6.1（3 月 9 日發布）。

根據紅帽的說法，liblzma 庫中的受損程式碼是在建置過程中透過複雜的過程注入的，從而允許攔截和修改資料互動。具體來說，該程式碼旨在篡改 systemd 軟體套件中的 sshd 守護進程，從而可能在某些情況下允許對系統進行未經授權的存取。

後門允許透過 SSH 進行任意有效負載

JFrog 指出，該後門的最終目標是將程式碼注入 OpenSSH 伺服器 (SSHD)，以允許具有特定私鑰的特定遠端攻擊者在身份驗證之前透過 SSH 執行任意負載，從本質上控制受害者的電腦。

這個問題是由 Microsoft 安全研究員 Andres Freund 曝光的，他發現了一個名為 Jia Tan (JiaT75) 的用戶透過對 Tukaani 專案的 GitHub 儲存庫進行一系列提交而引入的嚴重混淆的惡意程式碼。

微軟旗下的 GitHub 因違反其服務條款而採取行動，禁用了 XZ Utils 儲存庫。截至目前，還沒有關於在野外進行積極利用的案例的報導。

受影響的軟體套件僅在Fedora 41 和Fedora Rawhide 中發現，對其他發行版沒有影響，例如Alpine Linux、Amazon Linux、Debian Stable、Gentoo Linux、Linux Mint、Red Hat Enterprise Linux (RHEL)、SUSE Linux Enterprise 和Leap和Ubuntu。