在xz库中发现漏洞
已经发布了Fedora 40的紧急警报,用户应该注意。
3月28日,Fedora社区收到了关于CVE-2024-3094的消息,它影响了使用稳定分支之外的存储库的Fedora 40实例。
这个漏洞是在xz应用程序的上游tarball中发现的,xz应用程序是一个已经存在很长时间的压缩工具。
CVE-2024-3094被标记为严重,得分为10,这意味着它的严重程度最高,应该认真对待。
这个问题影响了xz库的5.6.0和5.6.1版本,并且只在tarball下载包中发现(而不是Git发行版,它缺乏M4宏触发器)。
根据红帽客户门户网站的说法,“从版本5.6.0开始,在xz的上游tarball中发现了恶意代码。通过一系列复杂的混淆,liblzma构建过程从源代码中存在的伪装测试文件中提取预构建的对象文件,然后使用该文件修改liblzma代码中的特定函数。这就产生了一个修改后的liblzma库,它可以被任何链接到这个库的软件使用,拦截和修改与这个库的数据交互。”
如果您是Fedora 40 beta用户,可以通过发出命令sudo dnf upgrade——refresh——advisory= Fedora -2024-d02c7bb266从测试存储库降级xz来解决这个问题。如果您发现该命令不起作用,请稍后再试。
