xz back door analysis
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
发现了xz压缩命令的5.6.0版本及以后的恶意代码,影响了Redhat的Fedora41和Fedora Rawhide、Debian的测试版和Arch Linux的稳定版。后门通过修改liblzma库中的函数,拦截和窃取用户数据。后门还影响了OpenSSH守护进程。后门由xz Utils的开发人员JiaT75提交。
🎯
关键要点
- 发现xz压缩命令5.6.0版本及以后的恶意代码,影响Redhat的Fedora41和Fedora Rawhide、Debian的测试版和Arch Linux的稳定版。
- 后门通过修改liblzma库中的函数,拦截和窃取用户数据。
- 后门还影响OpenSSH守护进程,因其与systemd通信,systemd链接到liblzma。
- 恶意代码由xz Utils的开发人员JiaT75提交。
- 后门的运行可以通过避免使用toolbar下载包和Git的特定构建来规避。
- 目前受影响的系统包括Fedora41、Fedora Rawhide、Debian测试版和Arch Linux稳定版,Red Hat Enterprise Linux不受影响。
- xz压缩软件使用LZMA2算法,广泛应用于开源软件中。
- 后门的发现源于测试人员对SSH CPU占用率异常的分析,最终定位到xz-utils压缩软件。
- 攻击者通过注册多个账号提交恶意代码,导致SSH无需密码即可进入。
- 漏洞编号为CVE-2024-3094,CVSS v3分数为10分,属于严重级别的木马。
➡️
