1. 漏洞概述

2024年4月1日，安全运营中心监测到XZ Utilѕ 工具库恶意后门植入漏洞，漏洞编号：CVE-2024-3094，漏洞威胁等级：高危。

2. 漏洞详情

XZ是一种高压缩比的数据压缩格式，由Tukaani项目开发，几乎存在于每个Linux发行版中，无论是社区项目还是商业产品发行版。它帮助将大文件格式压缩（然后解压缩）为更小、更易管理的大小，以便通过文件传输进行共享。liblzma是一个用于处理XZ压缩格式的开源软件库。

3月29日有开发人员在安全邮件列表上发帖称，他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击，进一步溯源发现SSH使用的上游liblzma库被植入了后门代码，恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数，该代码是XZ Utils软件包的一部分，链接到 XZ 库的任何软件都可以使用此修改后的代码，并允许拦截和修改与该库一起使用的数据。

3. 影响版本

xz == 5.6.0

xz == 5.6.1

liblzma== 5.6.0

liblzma== 5.6.1

其他受影响组件：

使用了受影响版本XZ的操作系统或软件如openSUSE、Fedora 41、Liblzma、Debian非稳定的测试版 5.5.1alpha-0.1 到 5.6.1-1

详情可在此查询：https://repology.org/project/xz/versions

4. 处置建议

1. 可通过如下命令查看系统本地是否安装了受影响的XZ：

$ xz --version

xz (XZ Utils) 5.6.1

iblzma 5.6.1

2. 目前官方尚无最新版本，需对软件版本进行降级5.4.X，请关注官方新版本发布并及时更新。

Fedora Linux 40 用户需 xz 回退到 5.4.x 版本可参考：

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266