多个 Linux 发行版中的 XZ 压缩工具被注入后门

由于通过 SSH 远程登录时出现异常高的 CPU 占用率和错误信息，软件开发人员 Andreas Freund 发现他的 Debian SID 安装中存在一个巨大的安全漏洞。该开发人员能够确定起因是 XZ-Tools，这是一个压缩工具集合，包含在许多 Linux 发行版中并被 SSH 使用。

该漏洞被称为CVE-2024-3094该漏洞允许未经授权远程访问受影响的 Linux 系统。受后门影响的版本是 XZ 实用程序和相关 liblmza 库（2 月底的 5.6.0 版和 3 月 9 日的 5.6.1 版）。这些被入侵的 XZ 版本是由 XZ 开发人员之一自己提出的，它们绕过了 SSH 身份验证，允许攻击者完全远程控制系统。

软件开发人员 Andreas Freund 写道，他发现了这个漏洞："过去几周，我在 Debian sid 安装的 liblzma（xz 软件包的一部分）上观察到了一些奇怪的症状（使用 ssh 登录占用大量 CPU、valgrind 错误），之后我找到了答案：上游的 xz 软件仓库和 xz 压缩包都被屏蔽了。起初我以为是 Debian 的软件包出了问题，但事实证明是上游的软件包出了问题。

后门代码只是部分隐藏在 GitHub 上的开放源代码中，GitHub 本身已暂时中止了 XZ Utilities 账户。除 Fedora Rawhide 外，受影响的 Linux 发行版已提供更新，它们是

• Debian 测试版、不稳定版和实验版
• Fedora Rawhide
• Arch Linux
• openSUSE Tumbleweed

Debian Stable、Fedora 39、openSUSE Leap 或 Red Hat Enterprise Linux (RHEL) 等发行版不受 XZ Utilities 漏洞影响。如果你使用的是上述 Linux 发行版之一，可以在控制台中使用 xz -version 检查 XZ Utilities 的版本号。理想情况下，建议重新安装，尤其是在 Linux 系统上启用了 SSH 访问的情况下。