2024年3月30日,网上公开披露了一个XZ Utils 工具库恶意后门植入漏洞(CVE-2024-3094),XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中,请各位用户尽快安装漏洞补丁。
漏洞风险:该后门存在于XZ Utils的5.6.0和5.6.1版本中,由于SSH底层依赖了liblzma等,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。
风险等级:高风险。
影响范围:
xz == 5.6.0
xz == 5.6.1
liblzma== 5.6.0
liblzma== 5.6.1
修复建议:
建议尽快升级到最新版
进行安全更新方法:
https://sourceforge.net/projects/lzmautils/
