所有Linux发行版被XZ压缩工具植入了后门: CVE-2024-3094
原文中文,约1600字,阅读约需4分钟。发表于: 。广泛使用的 xz 数据压缩工具和 liblzma 库的最新版本中发现了严重的安全漏洞: CVE-2024-3094,似乎源于不良行为者故意将恶意代码插入上游 xz 工具套件存储库中。xz压缩工具套件提供无损数据压缩功能,在 Linux 发行版和 macOS 系统中非常流行,用于压缩软件包、发布 tarball、内核映像等。这种普遍性使得该后门的影响尤为严重。受影响的版本是 xz 压缩工具的...
最新版本的Linux发行版发现了严重的安全漏洞,源于恶意代码被插入了XZ压缩工具和liblzma库。该后门会干扰Linux系统上的OpenSSH服务器的身份验证,并可能启用远程代码执行功能。受影响的发行版有Fedora、Debian、Kali Linux等。用户应立即安装更新的XZ软件包或降级到未受影响的版本来修复此漏洞。