长亭百川云 - 文章详情

【风险提示】天融信关于liblzma/xz库5.6.0、5.6.1版本后门事件(CVE-2024-3094)的风险提示

天融信阿尔法实验室

59

2024-07-13

0x00 背景介绍


3月29日,Openwall 邮件列表中公布了名为 XZ Utils 的流行软件包中的后门。涉及混淆恶意代码的供应链攻击。

0x01 漏洞描述


开发人员表示此次涉及一个名为 liblzma 的库,SSHD 使用该库,SSHD 是用于远程访问的 Internet 基础设施的关键部分。加载后,CVE-2024-3094会影响 SSHD 的身份验证,恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码存在于XZ版本的5.6.0 、 5.6.1。

0x02 漏洞编号


CVE-2024-3094

0x03漏洞等级


高危

0x04 影响版本


xz 和 liblzma 5.6.0~5.6.1 版本,已知可能包括的发行版 / 包管理系统有:
Fedora 41 / Fedora Rawhide
Debian Sid
Alpine Edge
Arch Linux
openSUSE Tumbleweed
openSUSE MicroOS

0x05 修复建议


建议用户将版本降级到 5.4.x 版本。

可利用如下脚本进行自查:

`#! /bin/bash``   ``set -eu``   ``# find path to liblzma used by sshd``path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"``   ``# does it even exist?``if [ "$path" == "" ]``then``echo probably not vulnerable``exit``fi``   ``# check for function signature``if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410``then``echo probably vulnerable``else``echo probably not vulnerable``fi``   `

0x06 参考链接


https://www.lacework.com/blog/guidance-for-cve-2024-3094-finding-and-responding-to-the-latest-supply-chain-compromise-with-lacework/
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/
https://github.com/byinarie/CVE-2024-3094-info
https://build.opensuse.org/request/show/1163302

0x07 声明


天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。

天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。

天融信

阿尔法实验室

长按二维码关注我们

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2