安装过程中,包管理器会自动处理依赖关系并下载、安装XZ Utils。 5. 验证XZ Utils是否成功安装并可以正常使用 安装完成后,你可以通过以下方式验证XZ Utils是否成功安装并可以正常使用: 检查XZ Utils的版本信息: bash xz --version 如果安装成功,该命令会显示XZ Utils的版本信息。 尝试压缩或解压缩一个文件来验证...
已知xz-utils 的上游版本 5.6.0 和 5.6.1 包含后门,所以我们抓取 Debian 软件包 5.6.1-1。 在虚拟机中,打开终端,用: kali@kali:~$ wget https://snapshot.debian.org/archive/debian/20240328T025657Z/pool/main/x/xz-utils/liblzma5_5.6.1-1_amd64.deb 现在安装软件包: 提醒那些没有注意的用户:下面...
Linux 中的 XZ Utils 是一套旨在压缩和解压 XZ 格式文件的实用工具集合。XZ 是一种无损数据压缩格式和软件,具有很高的压缩比,使其成为减小文件大小以进行存储或传输的理想选择。 XZ Utils 软件包通常包括一些工具,如用于压缩文件的 xz,用于解压文件的 unxz 或 xz --decompress,以及用于测试、比较和修复 XZ 格式...
偶然发现XZ Utils中存在一个危险的后门漏洞。对于不了解情况的人,XZ Utils是一种常见于流行Linux发行版的数据压缩工具,尽管它通常被认为是功能完整的,但事实证明有人一直在向软件中嵌入恶意代码,声称他们正在引入“伟大的新功能”。
IT之家 3 月 30 日消息,Red Hat 公司本周五发布安全公告,在最新的 XZ Utils 数据压缩工具和库中发现了一个后门,敦促用户立即停止使用 Fedora 开发和实验版本。Red Hat 警告表示:请立即停止在工作或者个人活动中使用任意 Fedora 41 或者 Fedora RAWHIDE 实例。目前排查结果显示 Red Hat Enterprise Linux(RHEL...
近两天 Linux 社区最关注的事情就是 xz-utils (以前被称为 LZMA Utils) 项目被植入后门的事情,xz 是被 Linux 发行版广泛使用的压缩格式之一,xz-utils 是一个开源项目,2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码,然后逐步接手该项目成为项目的主要贡献者。
该漏洞是微软员工Andres Freund 在调查 Debian 系统 SSH 性能问题时 "意外 "发现的。弗罗因德注意到与 XZ Utils 更新相关的异常行为,从而发现了 XZ Utils 5.6.0 和 5.6.1 版本中故意植入的后门。该后门允许拥有正确私钥的攻击者利用 SSH 操作,授予他们对系统的 root 访问权限。后门通过五级加载器操作,操纵...
xz 是被 Linux 发行版广泛使用的压缩格式之一,xz-utils 是一个开源项目,目前github及相关信息已经被封禁。目前该项目被发现存在后门,这些恶意代码旨在允许SSH未经授权的访问,sshd pubkey登录后门。目前受到影响 xz-utils 版本为5.6.0 和 5.6.1 版,而且这些受影响的版本已经被多个 Linux 发行版合并。已确认的...
关于此次后门的影响,在Red Hat发布的紧急安全通告中也有说明,恶意程序代码修改了XZ Utils组件中名为liblzma部分程序代码的功能,这也导致每一软件连接到XZ Utils,并允许变更与程序库一起使用的数据,都会受到影响。而Freund所观察到的例子,在某些特定条件下,这个后门可让攻击者绕过SSHD的身份认证机制,进而针对受...
sudoyum install xz-utils 解压.xz 文件 一旦确认系统已经安装了XZ Utils,我们就可以开始解压.xz文件了。解压操作非常简单,只需要使用xz命令并指定要解压的文件即可。例如,假设我们有一个名为file.xz的.xz文件,要解压它,可以使用以下命令: xz -d file.xz ...