Notifications
Clear all
Topic starter
30/03/2024 7:54 下午
https://security-tracker.debian.org/tracker/CVE-2024-3094
2024 年 3 月 29 日,xz-utils 中发现了后门,这是一套为开发人员提供无损压缩的软件。 该软件包通常用于压缩发行版 tarball、软件包、内核映像和 initramfs 映像。 它分布非常广泛,据统计,为了方便起见,您的普通 Linux 或 macOS 系统都会安装它。
从 5.6.0 版本开始,xz 的上游 tarball 中发现了恶意代码。 通过一系列复杂的混淆,liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件,然后使用该文件修改 liblzma 代码中的特定函数。 这会产生一个修改后的 liblzma 库,任何链接到该库的软件都可以使用该库,拦截并修改与该库的数据交互。
参考:
- https://nvd.nist.gov/vuln/detail/CVE-2024-3094
- https://access.redhat.com/security/cve/CVE-2024-3094
- https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
对蜀兜的影响:
- 蜀兜使用的操作系统Debian 12 中的 xz-utils 版本为5.4.1-0.2,根据 Debian官方报道,该版本未发现本次事件所提及的恶意代码。
- 我们将持续关注事态的发展。
