xz back door analysis
内容提要
发现了xz压缩命令的5.6.0版本及以后的恶意代码,影响了Redhat的Fedora41和Fedora Rawhide、Debian的测试版和Arch Linux的稳定版。后门通过修改liblzma库中的函数,拦截和窃取用户数据。后门还影响了OpenSSH守护进程。后门由xz Utils的开发人员JiaT75提交。
关键要点
-
发现xz压缩命令5.6.0版本及以后的恶意代码,影响Redhat的Fedora41和Fedora Rawhide、Debian的测试版和Arch Linux的稳定版。
-
后门通过修改liblzma库中的函数,拦截和窃取用户数据。
-
后门还影响OpenSSH守护进程,因其与systemd通信,systemd链接到liblzma。
-
恶意代码由xz Utils的开发人员JiaT75提交。
-
后门的运行可以通过避免使用toolbar下载包和Git的特定构建来规避。
-
目前受影响的系统包括Fedora41、Fedora Rawhide、Debian测试版和Arch Linux稳定版,Red Hat Enterprise Linux不受影响。
-
xz压缩软件使用LZMA2算法,广泛应用于开源软件中。
-
后门的发现源于测试人员对SSH CPU占用率异常的分析,最终定位到xz-utils压缩软件。
-
攻击者通过注册多个账号提交恶意代码,导致SSH无需密码即可进入。
-
漏洞编号为CVE-2024-3094,CVSS v3分数为10分,属于严重级别的木马。
延伸问答
xz压缩命令的后门是如何被发现的?
后门是通过一位测试人员对SSH CPU占用率异常的分析发现的,最终定位到xz-utils压缩软件。
哪些系统受到了xz压缩命令后门的影响?
受影响的系统包括Fedora41、Fedora Rawhide、Debian测试版和Arch Linux稳定版,Red Hat Enterprise Linux不受影响。
后门是如何影响用户数据的?
后门通过修改liblzma库中的函数,拦截和窃取用户数据。
如何避免xz压缩命令的后门?
可以通过避免使用toolbar下载包和Git的特定构建来规避后门的运行。
恶意代码的提交者是谁?
恶意代码由xz Utils的开发人员JiaT75提交。
xz压缩软件使用的是什么算法?
xz压缩软件使用LZMA2算法,广泛应用于开源软件中。
