Linux 压缩工具中的后门威胁

关键要点

在 Linux 常用的 xz 压缩工具中发现了后门，可能导致 SSH 服务暴露于未经授权的访问风险。微软的首席软件工程师 Andres Freund 发现了该后门，并向 Linux 发行方 Openwall 报告了此问题。有恶意代码的 m4 文件被添加至 560 版本的 xz tarballs 中，修改了 liblzma 库的功能。超过 10 分的 CVSS 评分，CISA 发布警报，建议用户降级至安全版本。多个 Linux 发行版受影响，包括 Fedora 和 Debian。

最近，在常用于 Linux 发行版的 xz 压缩工具中发现了一个后门。这一恶意代码隐藏在工具包内，形成了一个严重的供应链威胁，可能导致 SSH 服务被未经授权的访问所暴露。

微软的首席软件工程师 Andres Freund 发现了这一后门，并于周五早上向 Linux 发行方 Openwall 报告 了这一问题。

在 2 月 24 日发布的 560 版本中，有恶意的 m4 文件被添加到了 xz tarballs 中。这些文件包含 automake 指令，用于构建压缩库 liblzma，并修改其功能以实现未授权访问。

以下是相关信息：

项目详情血缘路径CVE20243094CVSS 评分最高 10 分受影响版本xz 560 和 561推荐安全版本xz 546

liblzma 库的这些变化可能导致 sshd 被攻击，因为许多 Linux 发行版在其 OpenSSH 实现中涉及了依赖于 liblzma 的 libsystemd，允许系统通知。

所添加的 m4 cmfiles 被刻意混淆，以隐藏其恶意功能，并且是由一名活跃的 xz 项目贡献者在两年内提交的。

Freund 在报告中提到：“鉴于最近几周的活动，这位提交者要么直接参与其中，要么其系统发生了严重的安全泄露。遗憾的是，后者的可能性似乎更低，因为他们在多个列表中讨论了以上提到的‘修复’。”这些修复是针对 xz 561 版本所做的，旨在解决可能由后门导致的 valgrind 和崩溃错误。

美国网络安全和基础设施安全局CISA 发布了警报，警告用户降级 xz 至安全版本，如 546 稳定版。

Freund 指出：“幸运的是，xz 560 和 561 尚未被广泛集成进 Linux 发行版中，若已集成，主要是在预发行版本中。”

红帽 发布了紧急安全警报，警告用户立即停止使用任何 Fedora Rawhide 实例，以免通过 xz 导致潜在的安全漏洞。警报还建议用户将 Fedora Linux 40 降级至使用 xz 54 的版本，尽管红帽报告说没有显示出 Fedora Linux 40 构建被攻破。而红帽企业版 Linux 则不受任何版本影响。

蘑菇加速器破解版

Freund 在测试 Debian 最新的不稳定发行版时发现了这个后门，Debian 的 安全建议 确认了这一受损工具被包含在其测试、不稳定和实验发行版中。该建议指出，软件包已恢复至 545 版本，并敦促用户应用更新。稳定版的 Debian 被认为不受影响。

据 Ars Technica 报道，CVE20243094 还影响了 macOS 的 HomeBrew 包管理器，[Kali Linux](https//