Red Hat 公司本週五發佈安全公告,在最新的 XZ Utils 數據壓縮工具和庫中發現了一個後門,敦促用戶立即停止使用 Fedora 開發和實驗版本。
Red Hat 警告表示:
請立即停止在工作或者個人活動中使用任意 Fedora 41 或者 Fedora RAWHIDE 實例。目前排查結果顯示 Red Hat Enterprise Linux(RHEL)沒有任何版本受到影響。
我們已經在適用於 Debian unstable(Sid)發行版的 XZ5.6.x版本中找到相關證據,證明存在後門,可以注入相關代碼。
Debian 安全團隊今天也發佈公告,表示當前沒有發現有穩定版 Debian 使用問題 XZ 軟件包,在受影響的 Debian 測試版、不穩定版和實驗版中,XZ 已被還原爲上游的 5.4.5 代碼。
微軟軟件工程師安德烈斯・弗羅因德(Andres Freund)在一臺 Linux 盒子上調查 Debian Sid(Debian 發行版的滾動開發版本) SSH 登錄緩慢問題時,發現了這個安全問題。
弗羅因德發現 XZ 格式壓縮實用程序 xz-utils 的上游源代碼壓縮包已被破解,並在構建時向生成的 liblzma5 庫中注入惡意代碼。弗羅因德表示目前並未找到在 XZ 5.6.0 和 5.6.1 版本中添加惡意代碼的確切目的。
Red Hat 現正跟蹤這一供應鏈安全問題,將其命名爲 CVE-2024-3094,並將其嚴重性評分定爲 10/10,同時在 Fedora 40 測試版中恢復使用5.4.x版本的 XZ。
XZ Utils 是爲 POSIX 平臺開發具有高壓縮率的工具。它使用 LZMA2 壓縮算法,生成的壓縮文件比 POSIX 平臺傳統使用的 gzip、bzip2 生成的壓縮文件更小,而且解壓縮速度也很快。
來源:IT之家
更多遊戲資訊請關註:電玩幫遊戲資訊專區
電玩幫圖文攻略 www.vgover.com
