[新聞] XZ Utils資料壓縮程式庫被植入後門

看板Linux作者 (ゆるキャン△)時間8月前 (2024/03/31 08:43), 編輯推噓22(22013)
留言35則, 16人參與, 8月前最新討論串1/1
https://www.ithome.com.tw/news/162040 使用SSHD連接到系統的用戶當心!因為駭客供應鏈攻擊鎖定XZ Utils庫植入隱密後門,多個Linux發行版受影響 研究人員Andres Freund在3月29日揭露XZ Utils資料壓縮程式庫被植入後門,同日Red Hat也發布相關緊急安全通告,指出CVE-2024-3094是CVSS v3風險層級滿分10分的漏洞,已確定Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed/MicroOS,部分Debian版本受影響 文/羅正漢 | 2024-03-30發表 今天週六早上,以揭露Exchange重大漏洞ProxyLogon聞名的臺灣資安研究人員Orange Tsai,還有其他國內資安社群成員,都在社群平臺發文針對一項關於SSHD的供應鏈攻擊提出探討與示警。 這是因為,研究人員Andres Freund在3月29日於Openwall公布一起涉及SSH伺服器的供應鏈攻擊狀況,並指出問題出在XZ Utils資料壓縮程式庫被植入後門,另也說明Red Hat已將此漏洞指派為CVE-2024-3094,且給出CVSS v3風險層級滿分10分。 此事件影響廣泛,Andres Freund表示,他是在調查SSH登入變慢相關問題時,最初以為發現debian裡面的套件包被入侵,但事實上是來自上游的問題,XZ程式庫與XZ的tarball檔案被植入後門,也就是一樁軟體供應鏈攻擊事件。這也再次顯現開源軟體供應鏈安全的重要性。 關於此次後門的影響,在Red Hat發布的緊急安全通告中也有說明,惡意程式碼修改了XZ Utils套件中名為liblzma部分程式碼的功能,這也導致每一軟體連結到XZ Utils,並允許變更與程式庫一起使用的資料,都會受到影響。而Freund所觀察到的例子,在某些特定條件下,這個後門可讓攻擊者繞過SSHD(Secure Shell Daemon)的身分認證機制,進而針對受影響的系統做到未經授權的存取。 至於有哪些版本受影響,以XZ Utils資料壓縮程式庫而言,Andres Freund指出受影響的版本是XZ Utils的5.6.0和5.6.1;以其他使用XZ Utils的軟體系統而言,目前已確認多個多個Linux發行版本受影響,包括:Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed與openSUSE MicroOS,以及部分Debian版本。 美國CISA也已經對此提出警告,並建議建議開發人員與使用者可先將XZ Utils降級、恢復到未被入侵的版本,如XZ Utils 5.4.6穩定版。同時用戶也該進行事件回應、清查入侵狀況,以確定是否可能已經受到後門的影響。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 112.104.88.203 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1711845826.A.A68.html

03/31 13:27, 8月前 , 1F

03/31 13:28, 8月前 , 2F
看起來頗嚴重
03/31 13:28, 2F

03/31 13:28, 8月前 , 3F

03/31 17:47, 8月前 , 4F
微軟員工發現的後門。疑似中國人用印尼的跳板上的 commit
03/31 17:47, 4F

03/31 17:47, 8月前 , 5F
是說那傢伙參與了很多的 opensource project
03/31 17:47, 5F

03/31 17:47, 8月前 , 6F
所以可能有不少東西要檢查一下有沒有被加料吧
03/31 17:47, 6F

03/31 23:27, 8月前 , 7F
植入後門的JiaT75布局了三年,很有耐性,恐怖
03/31 23:27, 7F

04/01 03:34, 8月前 , 8F
jia775出來打球
04/01 03:34, 8F

04/01 03:35, 8月前 , 9F
打錯,JiaT75,Github已經把他帳號封了
04/01 03:35, 9F

04/01 10:24, 8月前 , 10F
太狠了,這麼基本的lib居然會被加料
04/01 10:24, 10F

04/01 13:38, 8月前 , 11F
恐怕跟解放軍有關係吧
04/01 13:38, 11F

04/01 13:42, 8月前 , 12F
差一點就塞進去Ubuntu 24.04 LTS了
04/01 13:42, 12F

04/01 13:45, 8月前 , 13F
不然目前主流長期支援版本還沒有用這麼新的xz utils
04/01 13:45, 13F

04/01 17:17, 8月前 , 14F
我用的mageia因為人手不足 開發版本還停在5.4.6...
04/01 17:17, 14F

04/01 19:45, 8月前 , 15F
好險 Debian 12 的版本還停留在 5.4.1
04/01 19:45, 15F

04/01 22:13, 8月前 , 16F
mageia 好久沒聽到它了
04/01 22:13, 16F

04/01 22:14, 8月前 , 17F
有網友去分析JiaT75的貢獻紀錄作息,推測他可能是東歐人
04/01 22:14, 17F

04/01 22:15, 8月前 , 18F
聖誕連假休息,但農曆年等華人節目還是工作
04/01 22:15, 18F

04/02 00:22, 8月前 , 19F
Jia Tan 看起來很中文就是 XD
04/02 00:22, 19F

04/02 00:27, 8月前 , 20F
Jia Cheong Tan。名字也有可能假的就是
04/02 00:27, 20F

04/02 09:13, 8月前 , 21F
都花這麼大的功夫 弄個假名只是順便而已了
04/02 09:13, 21F

04/02 11:46, 8月前 , 22F
沒事 先往中國解放軍身上扯就對了 都是對岸的錯
04/02 11:46, 22F

04/02 22:10, 8月前 , 23F

04/03 06:46, 8月前 , 24F
還刻意強調沒有國家贊助,超可疑 XDDD
04/03 06:46, 24F

04/03 10:01, 8月前 , 25F
此地無銀
04/03 10:01, 25F

04/03 10:55, 8月前 , 26F
好險arch很久以前就改成zstd了
04/03 10:55, 26F

04/04 04:18, 8月前 , 27F
WIRED的報導中有專家意見認為主謀最可能還是俄國APT29
04/04 04:18, 27F

04/04 04:19, 8月前 , 28F
因為手法比中國和北韓的團體精細許多
04/04 04:19, 28F

04/04 12:56, 8月前 , 29F
俄羅斯也滿有可能,應該就是東歐跟俄羅斯那時區的人做的
04/04 12:56, 29F

04/08 16:03, 8月前 , 30F
俄 是全民教育包含程設,所以意外的資訊人才多(有點跟印
04/08 16:03, 30F

04/08 16:03, 8月前 , 31F
度一樣,翻身的機會)
04/08 16:03, 31F

04/10 13:27, 8月前 , 32F
懷疑是俄羅斯是北韓是CIA是以色列都可以 但只有提到解放軍就
04/10 13:27, 32F

04/10 13:27, 8月前 , 33F
會有人不爽 真是奇怪
04/10 13:27, 33F

04/10 16:25, 8月前 , 34F
政治腦不爽正常
04/10 16:25, 34F

04/13 15:23, 8月前 , 35F
那個X帳號是parody account吧
04/13 15:23, 35F
文章代碼(AID): #1c2B72fe (Linux)
文章代碼(AID): #1c2B72fe (Linux)