这些受影响版本中的恶意代码被巧妙地隐藏起来,采用了混淆技术来掩盖攻击的真实性质。红帽的分析显示,XZ Utils 的 Git 发布版不包含负责启动恶意代码构建过程的 M4 宏。 然而,在构建阶段注入代码所需的辅助组件是存在的,它们等待恶意 M4 宏的出现以激活它们。 好的,什么是 M4?简单来说,它是一种强大的宏处理器,...
自查发现,我们使用的 git-for-windows 是 v2.41.0,所用的 xz-utils 是 5.4.3 版本,因此没有受到此后门的影响;更让我们感到高兴的是,git-for-windows 的最新版(2.44.0)中的 xz 是 5.4.6,而并未受此波及。 然而,事情尚未尘埃落定,我们会继续关注这个问题,并尽最大努力守护我们的 pkg 体系。
该库的后门漏洞是一种供应链攻击。🔧 XZ Utils的用途: XZ是类Unix操作系统上的一种无损数据压缩格式。XZ Utils包含压缩和解压缩XZ文件的功能,以及liblzma库,用于数据压缩。🔍 后门发现过程: 微软PostgreSQL开发人员Andres Freund在调查SSH性能问题时发现了XZ包中的混淆恶意代码。恶意代码不存在于XZ的Git发行版中,...
XZ Utils = 5.6.0- 6.1 注:XZ的Git发行版中未发现恶意代码,仅存在于完整的下载包中。 目前已知受影响的Linux发行版: Fedora Rawhide(开发版本) Fedora 41 MACOS HomeBrew x64 openSUSE Tumbleweed及 MicroOS(3月7日至3月28日期间发行) Kali Linux(3月26日至3月28日期间发行的xz-utils 5.6.0-0.2) Debian(...
- 自查发现,我们使用的 git-for-windows 是 v2.41.0,所用的 xz-utils 是 5.4.3 版本,因此**没有**受到此后门的影响;更让我们感到高兴的是,git-for-windows 的最新版(2.44.0)中的 xz 是 5.4.6,而并未受此波及。 然而,事情尚未尘埃落定,我们会继续关注这个问题,并尽最大努力守护我们的 pkg 体系。
2月15日,攻击者在XZ Utils项目的.gitignore文件中添加了一个忽略规则,用于忽略build-to-host.m4脚本文件。这个脚本文件将在实际发布版本中包含恶意的M4宏,用于在受害者机器上初始化后门的安装。2月23日,攻击者在XZ Utils项目的两个测试文件中添加了混淆的二进制后门:tests/files/bad-3-corrupt_lzma2.xz和...
git config --global user.name userName git config --global user.email userEmail 使用HTTPS 协议时,命令行会出现如下账号密码验证步骤。基于安全考虑,Gitee 建议 配置并使用私人令牌 替代登录密码进行克隆、推送等操作 Username for 'https://gitee.com': userName Password for 'https://userName@gitee.com...
已知XZ Utils 版本5.6.0和5.6.1受到影响,恶意代码还不存在于XZ的Git发行版中,仅存在于完整的下载包中。已知的Linux 发行版包括Fedora Rawhide、Fedora 41、Debian非稳定的测试版 5.5.1alpha-0.1 到 5.6.1-1等。亚信安全CERT建议使用受影响版本的用户及时关注官方消息,请立即停止使用 Fedora 41 或 ...
尽管XZ的上游Git代码库中缺少触发恶意代码构建的M4宏,但已“预埋”了二级恶意文件,该文件可在恶意M4宏存在的环境中发挥作用。若不合并至构建过程,此恶意二级文件本身并无害。研究人员发现,该漏洞会影响OpenSSH守护进程。尽管OpenSSH不直接链接到liblzma库,但其与systemd的通信方式可能使其暴露于恶意软件攻击。目前...
如果出现了2月23日引入的混淆代码,GIT版本中的构件将允许该后门运行。 这些恶意修改是由JiaT75提交的,JiaT75是为xz Utils项目贡献多年的两名主要开发人员之一。 鉴于这几周的活动,提交者要么直接参与其中,要么就是他们的系统受到了比较严重的损害。根据最近各种关于“修复”的需求沟通,受损害的情况可能相当多。 3...