xz-utils 源代码托管在 Github 上,根据后门相关代码的提交记录可以定位攻击者是 Github 用户 JiaT75,其花费了近两年时间潜伏在 xz-utils 项目中,不断的为该项目贡献代码(最早可追溯到2022.02.07第一次提交代码),最终获得 xz-utils 仓库的直接维护权限,为构建后门打下了基础。 攻击者将后门目标定向至 sshd 服务,...
已知xz-utils 的上游版本 5.6.0 和 5.6.1 包含后门,所以我们抓取 Debian 软件包 5.6.1-1。 在虚拟机中,打开终端,用: kali@kali:~$ wget https://snapshot.debian.org/archive/debian/20240328T025657Z/pool/main/x/xz-utils/liblzma5_5.6.1-1_amd64.deb 现在安装软件包: 提醒那些没有注意的用户:下面...
3月25日,Hans Jansen、misoeater91、krygorin4545等用户开始推动在Debian等Linux发行版中加入后门版本XZ-Utils,Jia Tan也试图推动在Ubuntu的beta版本冻结前加入后门版本XZ-Utils,但没有成功。 3月29日,Andres Freund向开源项目安全邮件列表(https://www.openwall.com/lists/oss-security/2024/03/29/4)提醒XZ-Utils...
3月25日,Hans Jansen、misoeater91、krygorin4545等用户开始推动在Debian等Linux发行版中加入后门版本XZ-Utils,Jia Tan也试图推动在Ubuntu的beta版本冻结前加入后门版本XZ-Utils,但没有成功。 3月29日,Andres Freund向开源项目安全邮件列表(https://www.openwall.com/lists/oss-security/2024/03/29/4)提醒XZ-Utils...
同日,Debian unstable仓库开始集成5.6.0版本xz 3月29日 23时51分,Andres Freund向oss-security社区披露该后门情况 影响分析 投毒手法高明,但目前对真实场景的影响相对有限。其原因包括: 存在后门版本的xz-utils 5.6.0最早发布于2024年2月24日,被Debian...
同日,Debian unstable仓库开始集成5.6.0版本xz 3月29日 23时51分,Andres Freund向oss-security社区披露该后门情况 影响分析 投毒手法高明,但目前对真实场景的影响相对有限。其原因包括: 存在后门版本的xz-utils 5.6.0最早发布于2024年2月24日,被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch Linux等少数仓库...
腾讯云安全中心监测到,XZ-Utils被披露出被投毒植入恶意后门,漏洞编号CVE-2024-3094。可导致受害者机器被远程控制执行恶意操作等危害。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
XZ-Utils(曾经叫做LZMA Utils)是一款开源的无损压缩命令行工具,是用C语言编写的跨平台工具,可以用于类Unix系统和Windows系统。在多数情况下,xz的压缩率要好过gzip和bzip2,解压速度也快过bzip2,尽管压缩速度要慢于gzip。这款工具目前是大多数Linux发行版本的默认工具之一。
3月29日,微软PostgreSQL开发人员Andres Freund在oss-security上公告[1]他发现开源项目xz-utils存在后门漏洞。该项目遭到供应链攻击,项目维护者jiaT75(jia Tan)通过上传二进制测试文件和篡改编译脚本,使得编译过程中恶意二进制文件会替换原有文件,导致编译输出与公开的源码不匹配。
Shell scripts to identify and fix installations of xz-utils affected by the CVE-2024-3094 vulnerability. Versions 5.6.0 and 5.6.1 of xz-utils are known to be vulnerable, and this script aids in detecting them and optionally downgrading to a stable, un-compromised version (5.4.6) or upgradi...