漏洞预警丨XZ Utilѕ工具库恶意后门植入漏洞(CVE-2024-3094)【内含自检方式】
💡
原文中文,约3100字,阅读约需8分钟。
📝
内容提要
开发人员发现SSH使用的上游liblzma库存在后门代码,建议用户卸载含后门的版本并回退到稳定版本v5.4.6。
🎯
关键要点
- 开发人员发现SSH使用的liblzma库存在后门代码。
- 建议用户卸载含后门的版本并回退到稳定版本v5.4.6。
- 漏洞编号为CVE-2024-3094,漏洞等级为严重,评分为10。
- 后门代码可能允许攻击者通过SSH非授权访问系统。
- XZ Utils是用于压缩和解压缩文件的工具集,受影响的版本为v5.6.0和v5.6.1。
- 后门代码在特定编译环境下植入,替换正常编译过程中的中间文件。
- 后门功能包括挂钩SSH登录认证函数,执行未授权的系统命令。
- 检测系统是否安装受影响版本的XZ,安全版本为v5.4.6。
- 官方尚未发布补丁,用户需关注新版本更新。
➡️
