Linux 圈 “ 地震 ” ：主流压缩工具 XZ 被曝后门，红帽、Debian 等发公告要求紧急停用

国际科技财经博客移民网络热点娱乐民生时事公众号

Redian新闻

>公众号

公众号新闻

2024-04-01 00:04

来源IT之家：https://goo.su/UP2j0

Red Hat 公司本周五发布安全公告，在最新的 XZ Utils 数据压缩工具和库中发现了一个后门，敦促用户立即停止使用 Fedora 开发和实验版本。

Linux 圈“地震”：主流压缩工具 XZ 被曝后门，红帽、Debian 等发公告要求紧急停用

Red Hat 警告表示：

请立即停止在工作或者个人活动中使用任意 Fedora 41 或者 Fedora RAWHIDE 实例。目前排查结果显示 Red Hat Enterprise Linux（RHEL）没有任何版本受到影响。
我们已经在适用于 Debian unstable（Sid）发行版的 XZ 5.6.x 版本中找到相关证据，证明存在后门，可以注入相关代码。

Debian 安全团队今天也发布公告，表示当前没有发现有稳定版 Debian 使用问题 XZ 软件包，在受影响的 Debian 测试版、不稳定版和实验版中，XZ 已被还原为上游的 5.4.5 代码。

微软软件工程师安德烈斯・弗罗因德（Andres Freund）在一台 Linux 盒子上调查 Debian Sid（Debian 发行版的滚动开发版本） SSH 登录缓慢问题时，发现了这个安全问题。

弗罗因德发现 XZ 格式压缩实用程序 xz-utils 的上游源代码压缩包已被破解，并在构建时向生成的 liblzma5 库中注入恶意代码。弗罗因德表示目前并未找到在 XZ 5.6.0 和 5.6.1 版本中添加恶意代码的确切目的。

Red Hat 现正跟踪这一供应链安全问题，将其命名为 CVE-2024-3094，并将其严重性评分定为 10/10，同时在 Fedora 40 测试版中恢复使用 5.4.x 版本的 XZ。

XZ Utils 是为 POSIX 平台开发具有高压缩率的工具。它使用 LZMA2 压缩算法，生成的压缩文件比 POSIX 平台传统使用的 gzip、bzip2 生成的压缩文件更小，而且解压缩速度也很快。

网友表示：

“

BTW，CentOS 6/7 依然是神”

“提醒：使用Homebrew包管理器的macOS也中招了”

“大部分都没合入呢，应该没多少人会在生产环境用Debian sid之类测试版或者什么滚动发行版，最大的影响其实是在Arch Linux这种包特别新的发行版”

“相当于你家门锁它随便开”

END

官方站点：www.linuxprobe.com

Linux命令大全：www.linuxcool.com

刘遄老师QQ：5604215

Linux技术交流群：2636170

（新群，火热加群中……）

想要学习Linux系统的读者可以点击"阅读原文"按钮来了解书籍《Linux就该这么学》，同时也非常适合专业的运维人员阅读，成为辅助您工作的高价值工具书！

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。

来源: qq

点击查看作者最近其他文章

热点事件追踪