安全通告
關(guān)于liblzma/xz官方庫(kù)后門(mén)漏洞預(yù)警通告
發(fā)布日期:2024-4-1
[2024]007號(hào)
漏洞描述
2024年4月1日公司監(jiān)測(cè)到liblzma/xz官方庫(kù)存在后門(mén)漏洞。XZ-Utils是Linux、Unix等POSIX兼容系統(tǒng)中廣泛用于處理.xz文件的套件,包含liblzma、xz等組件,已集成在debian、ubuntu、centos等發(fā)行版?zhèn)}庫(kù)中。該漏洞是由于開(kāi)發(fā)者向軟件中注入了惡意的后門(mén)程序,由于SSH底層依賴(lài)了liblzma,攻擊者可能利用這一漏洞在受影響的系統(tǒng)上繞過(guò)SSH的認(rèn)證獲得未授權(quán)訪問(wèn)權(quán)限,執(zhí)行任意代碼。
漏洞編號(hào)
暫無(wú)編號(hào)
漏洞危害
攻擊者可能利用這一漏洞在受影響的系統(tǒng)上繞過(guò)SSH的認(rèn)證獲得未授權(quán)訪問(wèn)權(quán)限,執(zhí)行任意代碼。
漏洞等級(jí)
高危
受影響版本
5.6.0<=XZ Utils<=5.6.1
修復(fù)方案
官方暫未發(fā)布針對(duì)此漏洞的修復(fù)版本官方暫未發(fā)布針對(duì)此漏洞的修復(fù)版本,建議安裝XZ-Utils 5.6.0、5.6.1 版本用戶(hù)卸載當(dāng)前版本或者將xz降級(jí)至 5.4.6 版本。
參考鏈接
https://loudongyun.360.net/leakDetail/EV0vNLbbkUg%3D