首先我们搭建分析环境,由于 xz-utils 后门事件披露后各 Linux 发行版为降低影响范围对 xz-utils/liblzma.so 进行了版本回退,以及攻击者只在 tarball 中分发包含后门代码的项目源码(即与 Github 项目主页的代码不一致,增加后门代码的隐蔽性),因此我们需要在下游发行版指定 commit 才能获取包含后门代码的源代码(xz-uti...
需要说明的是:xz-utils 是上游资源库的名称,它提供了众所周知的 xz 命令来压缩和解压文件,但它也提供了 liblzma 库,也就是目前大家都在谈论的被泄露的库。正是通过这个库,SSH 守护进程才被添加了后门...明白了吗? 已知xz-utils 的上游版本 5.6.0 和 5.6.1 包含后门,所以我们抓取 Debian 软件包 5.6.1-...
3月29日,Andres Freund向开源项目安全邮件列表(openwall.com/lists/oss-)提醒XZ-Utils后门的发现。 Part.03事件启示如果不是微软的工程师Andres Freund这次意外的发现,XZ-Utils后门可能会在未来的很长一段事件里造成巨大的危害和影响。 由此事件可以看出,针对供应链的安全攻击已经衍生到了社区舆论和心理战范畴,虽然事...
3月29日 23时51分,Andres Freund向oss-security社区披露该后门情况 影响分析 投毒手法高明,但目前对真实场景的影响相对有限。 其原因包括: 存在后门版本的xz-utils 5.6.0最早发布于2024年2月24日,被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch Linux等少数仓库集成,还没有被大规模应用,CentOS/Redhat/Ubun...
XZ Utils是一个高压缩比的数据压缩格式,广泛应用于各种Linux发行版中。在XZ Utils的5.6.0和5.6.1版本中,被研究人员发现存在恶意后门代码,这个后门代码可以被攻击者利用,通过SSH未经授权地访问系统。这个恶意后门代码被嵌入在XZ Utils的两个测试文件中:tests/files/bad-3-corrupt_lzma2.xz和tests/files/good...
东窗事发之前,昨天还在催促Ubuntu邮件组合并 debian 的修改: https://bugs.launchpad.net/ubuntu/+source/xz-utils/+bug/2059417 截至目前事件还在持续发酵,我先去操心自己电脑到底有没有被搞了,打开我的电脑,忽然发现,还好目前没有证据表明这个后门会感染 macOS。
如果不是微软的工程师Andres Freund这次意外的发现,XZ-Utils后门可能会在未来的很长一段事件里造成巨大的危害和影响。 由此事件可以看出,针对供应链的安全攻击已经衍生到了社区舆论和心理战范畴,虽然事件的主要角色是Jia Tan,但在事件一步一步演进的过程中可以看到疑似Jia Tan所在团队的其他成员的身影,包括Hans Jansen...
3月29日 23时51分,Andres Freund向oss-security社区披露该后门情况 影响分析 投毒手法高明,但目前对真实场景的影响相对有限。其原因包括: 存在后门版本的xz-utils 5.6.0最早发布于2024年2月24日,被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch...
Andres Freund 在 2024 年 3 月 29 日发现了一个在 xz-utils 注入的后门;使用了 xz/lzma 5.6.0 / 5.6.1 的项目皆受影响。杀伤力: 当前还未完全清楚;但 openssh 的 `sshd` 首当其冲;注入的代码会 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的
一、漏洞概述近日,绿盟科技CERT监测到安全社区披露XZ-Utils工具库存在后门漏洞(CVE-2024-3094),CVSS评分10。由于SSH底层依赖了liblzma,当满足一定条件时,攻击者可利用此漏洞在受影响的系统上绕过SSH的认证获…