据 DoNews 报道,Linux 圈近期发生了一起重大安全事件,主流压缩工具 XZ 被曝出存在后门。该事件引起了广泛关注,包括红帽、Debian 在内的多家知名机构已经发布了安全公告,要求用户紧急停用可能受到影响的 XZ 工具版本。
详细情况
具体来说,Red Hat 公司在最新的 XZ Utils 数据压缩工具和库中发现了一个后门,并敦促用户立即停止使用 Fedora 开发和实验版本。该公司警告称,用户应立即停止在工作或个人活动中使用任意 Fedora 41 或者 Fedora RAWHIDE 实例。目前排查结果显示 Red Hat Enterprise Linux(RHEL)没有任何版本受到影响。
此外,Debian 安全团队也在适用于 Debian unstable(Sid)发行版的 XZ5.6.x版本中找到了相关证据,证明存在后门,可以注入相关代码。在受影响的 Debian 测试版、不稳定版和实验版中,XZ 已被还原为上游的 5.4.5 代码。
安全影响
微软软件工程师安德烈斯・弗罗因德(Andres Freund)在一台 Linux 盒子上调查 Debian Sid(Debian 发行版的滚动开发版本) SSH 登录缓慢问题时,发现了这个安全问题。他发现 XZ 格式压缩实用程序 xz-utils 的上游源代码压缩包已被破解,并在构建时向生成的 liblzma5 库中注入恶意代码。尽管弗罗因德表示目前并未找到在 XZ 5.6.0 和 5.6.1 版本中添加恶意代码的确切目的,但这一供应链安全问题已经被 Red Hat 跟踪,并将其严重性评分定为 10/10。
应对措施
为了解决这个问题,Red Hat 正在跟踪这一供应链安全问题,将其命名为 CVE-2024-3094,并将其严重性评分定为 10/10。同时,Fedora 40 测试版中已恢复使用5.4.x版本的 XZ。对于其他可能受到影响的系统,用户需要及时更新或卸载可能存在问题的 XZ 工具版本,以防止潜在的安全风险。
总的来说,这次事件再次提醒了我们在使用开源软件时需要注意的安全问题,尤其是对于那些核心组件,我们需要更加谨慎地对待其安全性。