[新聞] XZ Utils資料壓縮程式庫被植入後門
https://www.ithome.com.tw/news/162040
使用SSHD連接到系統的用戶當心!因為駭客供應鏈攻擊鎖定XZ Utils庫植入隱密後門,多個Linux發行版受影響
研究人員Andres Freund在3月29日揭露XZ Utils資料壓縮程式庫被植入後門,同日Red Hat也發布相關緊急安全通告,指出CVE-2024-3094是CVSS v3風險層級滿分10分的漏洞,已確定Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed/MicroOS,部分Debian版本受影響
文/羅正漢 | 2024-03-30發表
今天週六早上,以揭露Exchange重大漏洞ProxyLogon聞名的臺灣資安研究人員Orange Tsai,還有其他國內資安社群成員,都在社群平臺發文針對一項關於SSHD的供應鏈攻擊提出探討與示警。
這是因為,研究人員Andres Freund在3月29日於Openwall公布一起涉及SSH伺服器的供應鏈攻擊狀況,並指出問題出在XZ Utils資料壓縮程式庫被植入後門,另也說明Red Hat已將此漏洞指派為CVE-2024-3094,且給出CVSS v3風險層級滿分10分。
此事件影響廣泛,Andres Freund表示,他是在調查SSH登入變慢相關問題時,最初以為發現debian裡面的套件包被入侵,但事實上是來自上游的問題,XZ程式庫與XZ的tarball檔案被植入後門,也就是一樁軟體供應鏈攻擊事件。這也再次顯現開源軟體供應鏈安全的重要性。
關於此次後門的影響,在Red Hat發布的緊急安全通告中也有說明,惡意程式碼修改了XZ Utils套件中名為liblzma部分程式碼的功能,這也導致每一軟體連結到XZ Utils,並允許變更與程式庫一起使用的資料,都會受到影響。而Freund所觀察到的例子,在某些特定條件下,這個後門可讓攻擊者繞過SSHD(Secure Shell Daemon)的身分認證機制,進而針對受影響的系統做到未經授權的存取。
至於有哪些版本受影響,以XZ Utils資料壓縮程式庫而言,Andres Freund指出受影響的版本是XZ Utils的5.6.0和5.6.1;以其他使用XZ Utils的軟體系統而言,目前已確認多個多個Linux發行版本受影響,包括:Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed與openSUSE MicroOS,以及部分Debian版本。
美國CISA也已經對此提出警告,並建議建議開發人員與使用者可先將XZ Utils降級、恢復到未被入侵的版本,如XZ Utils 5.4.6穩定版。同時用戶也該進行事件回應、清查入侵狀況,以確定是否可能已經受到後門的影響。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 112.104.88.203 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1711845826.A.A68.html
→
03/31 13:27,
8月前
, 1F
03/31 13:27, 1F
→
03/31 13:28,
8月前
, 2F
03/31 13:28, 2F
→
03/31 13:28,
8月前
, 3F
03/31 13:28, 3F
推
03/31 17:47,
8月前
, 4F
03/31 17:47, 4F
→
03/31 17:47,
8月前
, 5F
03/31 17:47, 5F
→
03/31 17:47,
8月前
, 6F
03/31 17:47, 6F
推
03/31 23:27,
8月前
, 7F
03/31 23:27, 7F
推
04/01 03:34,
8月前
, 8F
04/01 03:34, 8F
→
04/01 03:35,
8月前
, 9F
04/01 03:35, 9F
推
04/01 10:24,
8月前
, 10F
04/01 10:24, 10F
推
04/01 13:38,
8月前
, 11F
04/01 13:38, 11F
推
04/01 13:42,
8月前
, 12F
04/01 13:42, 12F
→
04/01 13:45,
8月前
, 13F
04/01 13:45, 13F
推
04/01 17:17,
8月前
, 14F
04/01 17:17, 14F
推
04/01 19:45,
8月前
, 15F
04/01 19:45, 15F
推
04/01 22:13,
8月前
, 16F
04/01 22:13, 16F
→
04/01 22:14,
8月前
, 17F
04/01 22:14, 17F
→
04/01 22:15,
8月前
, 18F
04/01 22:15, 18F
推
04/02 00:22,
8月前
, 19F
04/02 00:22, 19F
推
04/02 00:27,
8月前
, 20F
04/02 00:27, 20F
推
04/02 09:13,
8月前
, 21F
04/02 09:13, 21F
→
04/02 11:46,
8月前
, 22F
04/02 11:46, 22F
推
04/02 22:10,
8月前
, 23F
04/02 22:10, 23F
推
04/03 06:46,
8月前
, 24F
04/03 06:46, 24F
推
04/03 10:01,
8月前
, 25F
04/03 10:01, 25F
推
04/03 10:55,
8月前
, 26F
04/03 10:55, 26F
推
04/04 04:18,
8月前
, 27F
04/04 04:18, 27F
→
04/04 04:19,
8月前
, 28F
04/04 04:19, 28F
推
04/04 12:56,
8月前
, 29F
04/04 12:56, 29F
推
04/08 16:03,
8月前
, 30F
04/08 16:03, 30F
→
04/08 16:03,
8月前
, 31F
04/08 16:03, 31F
推
04/10 13:27,
8月前
, 32F
04/10 13:27, 32F
→
04/10 13:27,
8月前
, 33F
04/10 13:27, 33F
推
04/10 16:25,
8月前
, 34F
04/10 16:25, 34F
推
04/13 15:23,
8月前
, 35F
04/13 15:23, 35F
Linux 近期熱門文章
23
129
PTT數位生活區 即時熱門文章