摘要: 这几天,网络安全圈几乎被xz(XZ-Utils)的后门(CVE-2024-3094)刷了屏,但游侠安全网搜了下,针对xz后门漏洞,大多数是讲故事,要么是深入的分析,但是好像简单的“检查、解决”不多,那我就做一次雷锋吧! # XZ-Utils 介绍 XZ-Uti...
这几天,网络安全圈几乎被xz(XZ-Utils)的后门(CVE-2024-3094)刷了屏,但游侠安全网搜了下,针对xz后门漏洞,大多数是讲故事,要么是深入的分析,但是好像简单的“检查、解决”不多,那我就做一次雷锋吧!
# XZ-Utils 介绍
XZ-Utils 是一个在类 Unix 操作系统上广泛使用的无损数据压缩和解压缩工具集。它包括了 XZ 文件格式的支持以及 liblzma 库,后者提供了类似于 zlib 的编程接口,允许开发者在自己的应用程序中集成 LZMA 算法的压缩和解压缩功能。XZ-Utils 以其高压缩率而受到青睐,生成的压缩文件通常比使用传统的 gzip 或 bzip2 算法生成的文件更小,同时保持了快速的解压缩速度。
# XZ 漏洞介绍
最近的安全研究表明,XZ-Utils 的特定版本中存在一个严重的安全漏洞,编号为 CVE-2024-3094。该漏洞是由于在 XZ 5.6.0 和 5.6.1 版本中的上游源代码压缩包被破解,并在构建过程中向生成的 liblzma 库中注入了恶意代码。这导致了在特定条件下,后门可能允许恶意行为者破坏 sshd 认证,从而获得对受影响系统的访问权限。Red Hat 公司已经将这一供应链安全问题的严重性评分定为 10/10,并敦促用户立即停止使用受影响的 Fedora 开发和实验版本。
# XZ 后门检测
为了检测系统是否受到 CVE-2024-3094 漏洞的影响,可以采取以下步骤进行检查和判定:
1. 使用命令 `xz -V` 或 `xz --version` 检查 XZ-Utils 的版本号。如果版本号是 5.6.0 或 5.6.1,那么系统可能受到该漏洞的影响。
2. 检查系统是否有使用 liblzma 库的软件,因为这些软件可能会受到漏洞的影响。
如果发现系统存在受影响的版本,应立即采取措施进行修复,以避免潜在的安全风险。
# XZ 漏洞修复
针对 CVE-2024-3094 漏洞的修复,如果您正在使用受影响的 XZ-Utils 版本,建议采取以下措施:
降级 XZ-Utils
降级到 5.6.0 版本以下的安全版本。这通常可以通过您的操作系统的包管理器来完成。例如,在基于 Debian 的系统中,您可以使用以下命令来安装较旧的版本:
sudo apt-get install xz-utils=5.4.5
在基于 Red Hat 的系统中,您可以使用类似的命令:
sudo yum downgrade xz-utils
确保在执行这些命令之前,您已经备份了重要数据,并且了解降级操作可能带来的依赖性问题。
卸载 XZ-Utils
如果您不打算继续使用 XZ-Utils,可以通过包管理器卸载该软件。在 Debian 系统中,使用以下命令:
sudo apt-get remove xz-utils
在 Red Hat 系统中,使用以下命令:
sudo yum remove xz-utils
这将从系统中移除 XZ-Utils,从而消除了由该软件包带来的安全风险。
更新系统
保持您的操作系统和所有软件包更新至最新版本,以便及时获得安全补丁和修复。定期运行系统更新命令,例如:
sudo apt-get update && sudo apt-get upgrade
或者对于 Red Hat 系统:
sudo yum check-update && sudo yum update
监控系统安全
即使在修复后,也应持续监控系统的安全状态。定期检查系统日志,使用安全扫描工具,并关注来自 XZ-Utils 开发者和操作系统维护者的安全通知。
通过上述步骤,您可以有效地修复 CVE-2024-3094 漏洞,并确保您的系统安全。记得在进行任何系统更改之前,总是备份重要数据,以防万一。
作者:张百川(网路游侠)网站:https://www.youxia.org 转载请注明来源!谢谢合作