1. 中文社区
  2. 2024
  3. 三月
  4. 30
  5. openSUSE 应对针对 xz 压缩库的供应链攻击

openSUSE 应对针对 xz 压缩库的供应链攻击

2024-03-30 | Poplar at twilight | CC-BY-SA-4.0

openSUSE 应对针对 xz 压缩库的供应链攻击

对于风滚草用户,建议立即更新系统至最新版本,并尽可能地将此供应链攻击信息通知其他的风滚草用户。

openSUSE 维护人员收到了针对压缩工具 xzliblzma5 库的供应链攻击通知。

背景

安全研究员 Andres Freund 向 Debian 报告称 xz/liblzma 库已被植入后门。

该后门是在 xzgithub 上游项目于 2024 年 2 月发布的 5.6.0 版本中植入的。

我们的滚动分支,openSUSE Tumbleweed 和 openSUSE MicroOS 在 3 月 7 日至 3 月 28 日期间发布的快照搭载了该版本。

SUSE Linux EnterpriseLeap 是独立于 openSUSE 构建的。Tumbleweed 的代码、功能和特性不会自动引入 SUSE Linux Enterprise 或 Leap。已确定 Tumbleweed 中引入的恶意文件不存在于 SUSE Linux Enterprise 或 Leap 中。

影响

目前的研究表明,该后门活跃于 SSH 守护进程中,允许恶意行为者访问 SSH 暴露于互联网的系统。

截至 3 月 29 日,后门的逆向工程仍在进行中。

缓解措施

openSUSE 维护人员已于 3 月 28 日回滚了 Tumbleweed 上的 xz 版本,并发布了从安全备份构建的新 Tumbleweed 快照(20240328 或更新的快照)。

回退版本为 5.6.1.revertto5.4,可通过 rpm -q liblzma5 查询。

推荐用户应采取的措施

对于将 SSH 在互联网上公开的 openSUSE Tumbleweed 用户,我们建议重新安装,因为不知道后门是否已被利用。由于后门的复杂性,不可能在系统上检测到漏洞。此外,我们强烈建议对可能从系统中获取的任何凭据进行轮换。否则,只需更新至 openSUSE Tumbleweed 20240328 或更高版本并重新启动系统即可。

其他社区相关的讨论

xz 在 GitHub 上发布的 tarball 的 m4 中包含了恶意后门代码。

如非特别标注,以下链接中内容均为英文。

oss-security 邮件列表: https://www.openwall.com/lists/oss-security/2024/03/29/4

debian-security-announce 邮件列表: https://lists.debian.org/debian-security-announce/2024/msg00057.html

CVE: https://www.cve.org/CVERecord?id=CVE-2024-3094

NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-3094

GitHub Advisory Database: https://github.com/advisories/GHSA-rxwq-x6h5-x525

Red Hat Customer Portal: https://access.redhat.com/security/cve/CVE-2024-3094

Red Hat Blog: https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Red Hat Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2024-3094

Debian Security Bug Tracker: https://security-tracker.debian.org/tracker/CVE-2024-3094

SUSE Security: https://www.suse.com/security/cve/CVE-2024-3094.html

SUSE Bugzilla: https://bugzilla.suse.com/show_bug.cgi?id=CVE-2024-3094

Gentoo’s Bugzilla: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2024-3094

Arch Linux News: https://archlinux.org/news/the-xz-package-has-been-backdoored/

Arch Linux Advisories: https://security.archlinux.org/ASA-202403-1

Everything I Know About the Xz Backdoor: https://boehs.org/node/everything-i-know-about-the-xz-backdoor

==== 忙着查资料的被子饼 ==== 目前的证据表明这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本,且均已发布回退更新

目前确定曾受影响的发行版: Debian unstable/testing between 2024-02-26 and 2024-03-29 Ubuntu noble-proposed/noble-release between 2024-02-26 and 2024-03-29 Fedora 40/41(Rawhide) between 2024-02-27 and 2024-03-29 openSUSE Tumbleweed between 2024-03-07 and 2024-03-28

原文:openSUSE addresses supply chain attack against xz compression library,作者:Marcus Meissner

分类: 更新通告

标签: Tumbleweed 翻译作品 官方新闻

分享帖子: