偶然发现XZ Utils中存在一个危险的后门漏洞。对于不了解情况的人,XZ Utils是一种常见于流行Linux发行版的数据压缩工具,尽管它通常被认为是功能完整的,但事实证明有人一直在向软件中嵌入恶意代码,声称他们正在引入“伟大的新功能”。
微软的回应包括针对受此漏洞影响的用户的关键建议。该公司建议将 XZ Utils 降级到安全版本,并使用 Microsoft Defender Vulnerability Management 和 Defender for Cloud。该漏洞是微软员工Andres Freund 在调查 Debian 系统 SSH 性能问题时 "意外 "发现的。弗罗因德注意到与 XZ Utils 更新相关的异常行为,从而发现了 XZ...
近两天 Linux 社区最关注的事情就是 xz-utils (以前被称为 LZMA Utils) 项目被植入后门的事情,xz 是被 Linux 发行版广泛使用的压缩格式之一,xz-utils 是一个开源项目,2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码,然后逐步接手该项目成为项目的主要贡献者。 日前该项目被发现存在后门,这些恶意代码旨...
已知xz-utils 的上游版本 5.6.0 和 5.6.1 包含后门,所以我们抓取 Debian 软件包 5.6.1-1。 在虚拟机中,打开终端,用: kali@kali:~$ wget https://snapshot.debian.org/archive/debian/20240328T025657Z/pool/main/x/xz-utils/liblzma5_5.6.1-1_amd64.deb 现在安装软件包: 提醒那些没有注意的用户:下面...
有一条重要的安全警报,发现了 XZ Utils 中的后门。XZ Utils 是一种用于 XZ 格式的压缩工具,通常被集成在很多 Linux 发行版中。这个漏洞被编入CVE-2024-3094目录,通过允许未经授权的远程访问来对受影响的系统构成了严重风险。 这个安全漏洞影响了 5.6.0 版本(于 2 月底发布)和 5.6.1 版本(于 3 月 9 日发...
sudo apt-get install xz-utils 使用此命令可以让系统自动从Internet上下载并安装 xz。 压缩文件 一旦安装完成,就可以使用 xz 压缩文件了。压缩文件的通用语法是: xz 例如,要压缩一个名为 test.txt 的文件,可以使用以下命令: xz test.txt 该命令将创建一个名为 test.txt.xz 的文件。这就是 xz 文件,它具有...
要查看Linux系统中xz-utils的版本,你可以按照以下步骤操作: 打开终端或命令行界面: 首先,你需要打开一个终端(Terminal)或命令提示符(Command Prompt)。 输入命令查看xz-utils版本: 在命令行中输入以下命令之一: bash xz --version 或者 bash xz -V 检查命令输出,确认xz-utils版本信息: 执行上述命令后,命令行...
IT之家 3 月 30 日消息,Red Hat 公司本周五发布安全公告,在最新的 XZ Utils 数据压缩工具和库中发现了一个后门,敦促用户立即停止使用 Fedora 开发和实验版本。Red Hat 警告表示:请立即停止在工作或者个人活动中使用任意 Fedora 41 或者 Fedora RAWHIDE 实例。目前排查结果显示 Red Hat Enterprise Linux(RHEL...
sudoyum install xz-utils 解压.xz 文件 一旦确认系统已经安装了XZ Utils,我们就可以开始解压.xz文件了。解压操作非常简单,只需要使用xz命令并指定要解压的文件即可。例如,假设我们有一个名为file.xz的.xz文件,要解压它,可以使用以下命令: xz -d file.xz ...
上周末,红帽(Red Hat)和美国网络安全和基础设施安全局(CISA)联合发布警告,称流行的Linux压缩工具XZ Utils存在影响广泛的高危漏洞(CVSS评分10分)。由于XZ压缩工具广泛存在于各种Linux发行版本中,因此检查并修复该漏洞是本周企业IT和安全团队的头等大事。 根据红帽公司上周六发布的安全公告。该漏洞编号为CVE-2024-3094,...