首先我们搭建分析环境,由于 xz-utils 后门事件披露后各 Linux 发行版为降低影响范围对 xz-utils/liblzma.so 进行了版本回退,以及攻击者只在 tarball 中分发包含后门代码的项目源码(即与 Github 项目主页的代码不一致,增加后门代码的隐蔽性),因此我们需要在下游发行版指定 commit 才能获取包含后门代码的源代码(xz-uti...
看得出来,xz 后门如果成功以后,绝对算得上是「核弹级」后门了。XZ Utils 的后门被分配漏洞编号是CVE-2024-3094[13],并具有CVSS最高的严重性评分 10 分。 xz 后门实施的关键阶段分析 从互联网上披露的各种关于 xz 后门的资料总结,xz 后门的实施包含四个关键阶段: 取得维护者信任:攻击者通过长期参与项目,逐步建...
已知xz-utils 的上游版本 5.6.0 和 5.6.1 包含后门,所以我们抓取 Debian 软件包 5.6.1-1。 在虚拟机中,打开终端,用: kali@kali:~$ wget https://snapshot.debian.org/archive/debian/20240328T025657Z/pool/main/x/xz-utils/liblzma5_5.6.1-1_amd64.deb 现在安装软件包: 提醒那些没有注意的用户:下面...
XZ Utils是一个高压缩比的数据压缩格式,广泛应用于各种Linux发行版中。在XZ Utils的5.6.0和5.6.1版本中,被研究人员发现存在恶意后门代码,这个后门代码可以被攻击者利用,通过SSH未经授权地访问系统。这个恶意后门代码被嵌入在XZ Utils的两个测试文件中:tests/files/bad-3-corrupt_lzma2.xz和tests/files/good...
3月25日,Hans Jansen、misoeater91、krygorin4545等用户开始推动在Debian等Linux发行版中加入后门版本XZ-Utils,Jia Tan也试图推动在Ubuntu的beta版本冻结前加入后门版本XZ-Utils,但没有成功。 3月29日,Andres Freund向开源项目安全邮件列表(openwall.com/lists/oss-)提醒XZ-Utils后门的发现。 Part.03事件启示如果不是...
3月29日 23时51分,Andres Freund向oss-security社区披露该后门情况 影响分析 投毒手法高明,但目前对真实场景的影响相对有限。 其原因包括: 存在后门版本的xz-utils 5.6.0最早发布于2024年2月24日,被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch Linux等少数仓库集成,还没有被大规模应用,CentOS/Redhat/Ubun...
2月23日和3月9日,Jia Tan分别提交了Tests:Add a few test files和Tests:Update two test files两个commit,这两个commit也是XZ项目后门出现的两次提交。 3月25日,Hans Jansen、misoeater91、krygorin4545等用户开始推动在Debian等Linux发行版中加入后门版本XZ-Utils,Jia Tan也试图推动在Ubuntu的beta版本冻结前加入...
3月29日 23时51分,Andres Freund向oss-security社区披露该后门情况 影响分析 投毒手法高明,但目前对真实场景的影响相对有限。其原因包括: 存在后门版本的xz-utils 5.6.0最早发布于2024年2月24日,被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch...
IT之家 3 月 30 日消息,Red Hat 公司本周五发布安全公告,在最新的 XZ Utils 数据压缩工具和库中发现了一个后门,敦促用户立即停止使用 Fedora 开发和实验版本。Red Hat 警告表示:请立即停止在工作或者个人活动中使用任意 Fedora 41 或者 Fedora RAWHIDE 实例。目前排查结果显示 Red Hat Enterprise Linux(RHEL...