liblzma/xz漏洞

已于 2024-04-01 19:22:31 修改
阅读量1.1k 收藏 7
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 安全漏洞 文章标签: java 数据库 开发语言 安全威胁分析 漏洞
于 2024-04-01 19:19:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GyaoG/article/details/137243616
研究人员发现liblzma/xz官方库5.6.0和5.6.1版本存在恶意后门,可能导致SSH认证绕过。非x86-64架构不受影响,建议检查版本并降级至5.4.6。排查和修复脚本提供给受影响用户。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、事情概述

        在2024年3月28日,研究人员发现在liblzma/xz官方库的5.6.0和5.6.1版本中被发现植入了恶意后门,具体来说,这个后门会篡改Makefile,注入恶意脚本到configure中执行,从而在生成的代码里链接恶意的.o。当满足一定条件,即当前进程是/usr/sbin/sshd,不存在调试环境变量,配置了LANG时,就会触发后门逻辑。攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。

非x86-64架构的系统不受此影响,Git版的xz中也没有发现恶意代码,只有完整下载包中存在问题。因此,建议用户检查xz版本,如果输出为5.6.0或5.6.1,说明系统可能已被植入后门。

二、影响范围

xz 和 liblzma 5.6.0~5.6.1 版本,可能包括的发行版 / 包管理系统有:

  • Fedora 41 / Fedora Rawhide

  • Debian Sid

  • Alpine Edge

  • x64 架构的 homebrew

  • 滚动更新的发行版,包括 Arch Linux / OpenSUSE Tumbleweed

如果您的系统使用 systemd 启动 OpenSSH 服务器,您的 SSH 认证过程可能被攻击。

非 x64 (amd64) 架构的系统不受影响。

三、

1、排查软件版本是否在受影响范围内

        您可以通过在命令行中输入 xz --version 来检查xz的版本。如果输出结果为5.6.0或5.6.1,那么您的系统可能已被植入后门。此外,值得注意的是,xz的5.6.0和5.6.1版本尚未被正式集成进Linux发行版中,目前它们主要存在于预发布版本中。同时,大部分Linux发行版中的openssh并不直接使用liblzma库,目前已知仅有Debian以及一些openssh的补丁直接使用了liblzma库。

2、如果相关版本在受影响范围内,利用如下自查脚本排查是否存在后门:
#! /bin/bash

set -eu

# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"

# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi

# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi

四、解决方案

 将xz版本降级至 5.4.6 版本。

OSG第三方库编译之六:libLZMA编译(Windows、Linux、Macos环境下编译)
LuckyHanMo的博客
06-09 2936
OSG编译;第三方库;跨平台编译;libLZMA编译(Windows、Linux、Macos环境下编译)
liblzma/xz被植入后门,过程堪比谍战片!
蚁景网安学院
04-01 1042
3月29日,微软PostgreSQL开发人员Andres Freund在调试SSH性能问题时,在开源安全邮件列表中发帖称,他在XZ软件包中发现了一个涉及混淆恶意代码的供应链攻击。据Freund和RedHat称,Git版XZ中没有恶意代码,只有完整下载包中存在。但是这个代码的提交人两年前就加入了项目维护,暂时不能确定之前的版本有没有问题。
edHat linux光盘引导,[原]个性化Linux发行版光盘之补充——XZ(LZMA算法)
weixin_39595085的博客
05-15 172
红帽(Red Hat)从Enterprise Server 6.2 开始,启动镜像文件initrd.img 开始改用xz 工具进行压缩,这与以往版本是有区别的。一、启动镜像initrd.img 文件类RedHat 系统从vmlinuz 核心引导后,会读取initrd.img 启动镜像。该文件中包含驱动模块等信息,是非常重要的文件。不同版本使用的格式不同。1.RHEL 4.0 版本采用ext2 文件...
HUAWEI HG659 lib 任意文件读取漏洞
weixin_51387754的博客
11-30 1106
标题 HUAWEI HG659 lib 存在任意文件读取漏洞,攻击者通过漏洞可以读取任意文件 漏洞复现 /lib///....//....//....//....//....//....//....//....//etc//passwd
lzma之xz utils-5.2.5编译
islinyoubiao的专栏
12-17 648
7z的威力无限,lzma压缩算法出力不少。 想用lzma的,可以编译xz,里面有。 多谢,亲爱的美美。
极危!XZ Utils 5.6.0/5.6.1版本恶意后门植入漏洞风险通告
亚信安全官方账号的博客
04-01 2024
前日,亚信安全CERT监测到 XZ Utils 5.6.0、5.6.1版本存在恶意后门植入漏洞。攻击者可能利用该漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码,请相关用户立即采取安全措施!
XZ 被植入后门前发生了什么 - 开源项目互动的缩影
阿然的专栏
04-01 738
XZ Utils 被植入后门,影响颇大。攻击者以一种“间谍”的方式加入,这之前都发生了什么呢?
XZ-Utils后门事件过程及启示
INSBUG的博客
04-18 1851
Jia Tan通过邮件列表补充提交了一个补丁,这个补丁的提交得到另一个邮件列表成员Jigar Kumar(非项目维护人员)在精神上的支持,因为XZ项目开发和维护进度太慢了,而Jia Tan表现的相当积极。,Jia Tan首次出现在了XZ项目的邮件列表中,称自己发现了一个bug,并在自己fork的项目中做了相关的测试代码,即没有提交PR,而是通过邮件列表积极参与项目沟通。如果不是微软的工程师Andres Freund这次意外的发现,XZ-Utils后门可能会在未来的很长一段事件里造成巨大的危害和影响。
【核弹级安全事件】XZ Utils库中发现秘密后门,影响主要Linux发行版,软件供应链安全大事件
weixin_55163056的博客
03-31 2623
Red Hat 发布了一份“紧急安全警报”,警告称两款流行的数据压缩库XZ Utils(先前称为LZMA Utils)的两个版本已被植入恶意代码后门,这些代码旨在允许未授权的远程访问。 此次软件供应链攻击被追踪为``CVE-2024-3094``,其CVSS评分为``10.0``,表明其严重性极高。它影响了XZ Utils的5.6.0版本(2月24日发布)和5.6.1版本(3月9日发布)
liblzma 5.4.2
10-15
3. 支持多种格式:liblzma支持多种压缩格式,包括xz、7z和lzma等。 4. 灵活的API:liblzma提供了灵活且易于使用的API,可以轻松地集成到各种应用程序中。 5. 跨平台支持:liblzma可以在多个操作系统上使用,包括...
Libxml2/libiconv-2/liblzma-5/zlib1
03-07
可以解决Emacs通过eww上网时没有Libxml2库的问题。使用方法可以参照这里:http://blog.csdn.net/mathadora/article/details/79468528
nim-lzma:使用liblzma库压缩和解压缩数据的Nim模块
02-02
nim-lzma:使用liblzma库压缩和解压缩数据的Nim模块
libxml2-2.9.7
05-22
Libxml2 是一个xml c语言版的解析器,本来是为Gnome项目开发的工具,是一个基于MIT License的免费开源软件。它除了支持c语言版以外,还支持c++、PHP、Pascal、Ruby、Tcl等语言的绑定,能在Windows、Linux、Solaris、MacOsX等平台上运行。功能还是相当强大的,相信满足一般用户需求没有任何问题
Linux下32位liblzo和liblzma
12-17
Linux下编译缺少liblzo2.so.2 ,liblzma.so.5.2.4等问题,添加对应库到library path就可以了,修改方式: LD_LIBRARY_PATH=xxx,在ubuntu上验证OK
QT编译liblzma
一个人要像一支队伍
04-15 1760
liblzma库是xz utils的子集,这里先下载xz utils源码。 新建xz_lib文件夹。解压xz utils源码,取出extra,lib,src三个文件夹,并放入xz_lib文件夹中。 再将config.h.in重命名为config.h,放入xz_lib文件夹中,并修改成下面这样: #ifndef CONFIG_H #define CONFIG_H /* Prefix for symbols exported by tuklib_*.c files */ #define TUKL
编译给IOS平台用的liblzma库(xz与lzma)
07-14 972
使用otool -L liblzmadec.a 或者otool -L liblzmadec.dylib 可查看库依赖。执行./autogen.sh生成configure配置程序。查看configure用法 ./configure -h。安装到配置目录`pwd`/Framework/lzma。到这里旧版本的工程已编译OK并可在IOS平台使用了.执行上面脚本开始生成makefile。执行下面指令生成makefile。先进行已下载好的lzma目录。成功生成makefile。
python格式化输出 xz_Python 2.7:使用“lzma”模块使用XZ格式压缩数据
weixin_39687881的博客
12-10 275
我正在试验Python 2.7.6中的lzma模块,看看我是否可以使用XZ格式为将来使用它的项目创建压缩文件.我在实验中使用的代码是:import lzma as xzin_file = open('/home/ki2ne/Desktop/song.wav', 'rb')input_data = in_file.read()compressed_data = xz.compress(input_d...
linux下c使用lzma_liblzma: lzma github上面的版本,码云官方使用的是旧版本,没有使用完整autoconf,这个版本可以直接 configure...
weixin_33603067的博客
12-23 991
XZ Utils========0. Overview1. Documentation1.1. Overall documentation1.2. Documentation for command-line tools1.3. Documentation for liblzma2. Version numbering3. Reporting bugs4. Translating the xz t...
liblzma 漏洞检测
zhangdaolong
04-02 191
【代码】liblzma 漏洞检测。
builozer打包apk liblzma from https://tukaani.org/xz/xz-5.2.4.tar.gz报错:timeout
最新发布
12-07
在使用Buildozer打包APK时,如果遇到从https://tukaani.org/xz/xz-5.2.4.tar.gz下载liblzma时报错timeout,可以尝试以下几种解决方法: 1. **检查网络连接**: - 确保你的网络连接稳定,可以访问外部网站。 - 尝试在浏览器中直接访问该URL,确认是否可以正常下载。 2. **使用国内镜像源**: - 有时直接从国外网站下载可能会比较慢,可以尝试使用国内的镜像源。例如,可以使用国内的Gitee或GitHub镜像来下载xz源码包。 3. **手动下载并放置**: - 手动从https://tukaani.org/xz/xz-5.2.4.tar.gz下载liblzma源码包。 - 将下载的源码包放置到Buildozer的缓存目录中,通常是`~/.buildozer/cache/`。 4. **增加超时时间**: - 在Buildozer的配置文件`buildozer.spec`中,增加下载超时时间。找到`[buildozer]`部分,添加或修改`download_timeout`参数,例如: ```ini [buildozer] download_timeout = 60 ``` 5. **使用代理**: - 如果你的网络环境需要使用代理,可以配置Buildozer使用代理。找到`[buildozer]`部分,添加代理配置,例如: ```ini [buildozer] proxy = http://your_proxy:port ``` 6. **更新Buildozer**: - 确保使用的是最新版本的Buildozer,因为新版本可能修复了下载相关的问题。可以使用以下命令更新Buildozer: ```bash pip install --upgrade buildozer ``` 通过以上方法,应该可以解决下载liblzma时报错timeout的问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序之大道至简

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值