XZ-Utils工具库后门漏洞(CVE-2024-3094)通告
💡
原文中文,约2300字,阅读约需6分钟。
📝
内容提要
绿盟科技CERT监测到XZ-Utils工具库存在后门漏洞,攻击者可绕过SSH认证获得未授权访问权限。建议用户降级至5.4或之前版本或替换为其他组件。
🎯
关键要点
-
绿盟科技CERT监测到XZ-Utils工具库存在后门漏洞(CVE-2024-3094),CVSS评分10。
-
攻击者可利用此漏洞绕过SSH认证获得未授权访问权限,执行任意系统命令。
-
XZ-Utils是处理.xz文件的工具库,广泛用于Linux和Unix系统。
-
后门漏洞由开发者JiaT75于2021年植入,2023年接管项目维护权限。
-
受影响版本为XZ Utils 5.6.0-6.1,建议用户降级至5.4或之前版本。
-
已知受影响的Linux发行版包括Fedora、MACOS HomeBrew、openSUSE、Kali Linux和Debian。
-
用户可通过命令检测XZ版本,或使用脚本检查系统是否被感染后门。
-
官方尚未发布修复公告,建议用户降级或替换为其他组件如7zip。
-
本安全公告不提供任何保证,使用者需自行承担后果。
➡️
