标签:
导读 微软员工AndresFreund分享了他在Debian安装的xz包中发现的奇怪现象。Freund注意到ssh登录需要大量CPU,因此决定进行调查,最终发现了这一问
微软员工AndresFreund分享了他在Debian安装的xz包中发现的奇怪现象。Freund注意到ssh登录需要大量CPU,因此决定进行调查,最终发现了这一问题。
该漏洞已获得最高安全评级,CVS评分为10,并获得了RedHat产品安全严重影响评级。
RedHat将此问题标记为CVE-2024-3094,但考虑到其严重性以及之前的主要漏洞被命名为Heartbleed,社区厚颜无耻地将此漏洞命名为一个更粗俗的名称,并颠倒了Heartbleed徽标。
RedHat写道:“从5.6.0版本开始,在xz的上游tarball中发现了恶意代码。通过一系列复杂的混淆,liblzma构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件,然后使用该文件修改liblzma代码中的特定函数。这会导致修改后的liblzma库可被任何链接到此库的软件使用,从而拦截和修改与此库的数据交互。”
恶意注入仅在xz版本5.6.0和5.6.1库的tarball下载包中发现。Git发行版不包含触发代码的M4宏。如果存在恶意M4宏,则第二阶段工件在构建期间存在于Git存储库中以供注入。如果不合并到构建中,第二阶段文件是无害的。
建议用户在以下发行版中检查xz版本5.6.0或5.6.1并降级至5.4.6。如果无法降级,则应禁用面向公众的SSH服务器。