【风险提示】天融信关于liblzma/xz库5.6.0、5.6.1版本后门事件（CVE-2024-3094）的风险提示

0x00 背景介绍

---

3月29日，Openwall 邮件列表中公布了名为 XZ Utils 的流行软件包中的后门。涉及混淆恶意代码的供应链攻击。

0x01 漏洞描述

---

开发人员表示此次涉及一个名为 liblzma 的库，SSHD 使用该库，SSHD 是用于远程访问的 Internet 基础设施的关键部分。加载后，CVE-2024-3094会影响 SSHD 的身份验证，恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码存在于XZ版本的5.6.0 、 5.6.1。

0x02 漏洞编号

---

CVE-2024-3094

0x03漏洞等级

---

高危

0x04 影响版本

---

xz 和 liblzma 5.6.0~5.6.1 版本，已知可能包括的发行版 / 包管理系统有：
Fedora 41 / Fedora Rawhide
Debian Sid
Alpine Edge
Arch Linux
openSUSE Tumbleweed
openSUSE MicroOS

0x05 修复建议

---

建议用户将版本降级到 5.4.x 版本。

可利用如下脚本进行自查：

`#! /bin/bash``   ``set -eu``   ``# find path to liblzma used by sshd``path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"``   ``# does it even exist?``if [ "$path" == "" ]``then``echo probably not vulnerable``exit``fi``   ``# check for function signature``if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410``then``echo probably vulnerable``else``echo probably not vulnerable``fi``   `

0x06 参考链接

---

https://www.lacework.com/blog/guidance-for-cve-2024-3094-finding-and-responding-to-the-latest-supply-chain-compromise-with-lacework/
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/
https://github.com/byinarie/CVE-2024-3094-info
https://build.opensuse.org/request/show/1163302

0x07 声明

---

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。

天融信

阿尔法实验室

长按二维码关注我们