简介

XZ-Utils被披露出被投毒植入恶意后门，漏洞编号CVE-2024-3094，可导致受害者机器被远程控制执行恶意操作等危害。

漏洞详情

XZ 是类 Unix 操作系统上的一种无损数据压缩格式，类似于 gzip 和 bzip2 等其他常见数据压缩格式。 XZ-Utils 是一个命令行工具，包含 XZ 文件和 liblzma 的压缩和解压缩功能，liblzma是XZ-Utils依赖的一个压缩库，提供了类似于zlib的编程接口，用于实现LZMA算法，允许开发者在他们的应用程序中集成LZMA压缩和解压缩功能。

从 5.6.0 版本开始，XZ 的上游 tarball 中发现被投毒植入了恶意代码。 恶意代码修改了XZ Utils包中liblzma库的函数，可能导致任何链接到XZ库的软件能够拦截和修改数据。在特定条件下，该后门可能允许恶意行为者破坏sshd认证，从而获得对受影响系统的访问权限。

事件背景

2021年10月，植入后门漏洞的开发者JiaT75开始参与XZ-Utils项目的开发，逐渐取得信任，并于2023年接管了项目维护权限，其在2024年2月向liblzma/xz提交恶意文件，引入了一个允许攻击者未授权访问SSH的隐蔽后门，同时联系Linux发行版维护者，要求将带后门的库打包并分发给最终用户，3月29日开发人员Andres Freund在分析SSH性能故障时（sshd的CPU利用率会飙升），发现了该供应链攻击活动。目前GitHub已经关停了整个XZ-Utils项目。

风险等级

高风险

漏洞风险

可导致受害者机器被远程控制执行恶意操作

影响版本

XZ-Utils >= 5.6.0（5.6.0，5.6.1）

安全版本

XZ-Utils < 5.6.0

修复建议

排查XZ-Utils的版本，对XZ-Utils进行降级处理，降级到5.6.0 以下版本

可使用以下命令检查xz的版本：
xz -V 或 xz -version

[xiaofeng@localhost ~]$ xz -V
xz (XZ Utils) 5.2.4
liblzma 5.2.4
[xiaofeng@localhost ~]$ 
[xiaofeng@localhost ~]$ 
[xiaofeng@localhost ~]$ xz --version
xz (XZ Utils) 5.2.4
liblzma 5.2.4
[xiaofeng@localhost ~]$