红帽公司今天向XZ地区的Fedora 41和Fedora Rawhide用户发布了“紧急安全警报”。是的,用于这种压缩格式的XZ工具和库。XZ 5.6.0/5.6.1中添加了一些恶意代码,可以允许未经授权的远程系统访问。
由于恶意代码进入代码库,Red Hat引用了CVE-2024-3094来解决这个XZ安全漏洞。我还没有看到CVE-2024-3094公开,但红帽安全警报总结如下:
“xz版本5.6.0和5.6.1库中的恶意注入是模糊的,只包含在下载包中——Git发行版缺乏触发恶意代码构建的M4宏。第二阶段的工件存在于Git存储库中,用于在构建期间进行注入,以防存在恶意的M4宏。
由此产生的恶意构建会通过systemd干扰sshd中的身份验证。SSH是用于远程连接系统的常用协议,而sshd是允许访问的服务。在适当的情况下,这种干扰可能会使恶意行为者破坏sshd身份验证,并获得对整个系统的未经授权的远程访问。”
哎哟!XZ 5.6在一个月前推出,XZ 5.6.1在三个星期前推出。在撰写本文时,还没有XZ 5.6.2或类似的发布版本删除了恶意代码。
紧急红帽警告可以通过红帽博客找到。Debian也针对XZ utils中的恶意代码发布了类似的安全消息。
长话短说,确保您的系统现在没有安装XZ 5.6.0/5.6.1。
更新:
Additional information now available on the oss-security list with the discover by Andres Freund.
