據(jù) DoNews 報(bào)道，Linux 圈近期發(fā)生了一起重大安全事件，主流壓縮工具 XZ 被曝出存在后門(mén)。該事件引起了廣泛關(guān)注，包括紅帽、Debian 在內(nèi)的多家知名機(jī)構(gòu)已經(jīng)發(fā)布了安全公告，要求用戶緊急停用可能受到影響的 XZ 工具版本。

詳細(xì)情況

具體來(lái)說(shuō)，Red Hat 公司在最新的 XZ Utils 數(shù)據(jù)壓縮工具和庫(kù)中發(fā)現(xiàn)了一個(gè)后門(mén)，并敦促用戶立即停止使用 Fedora 開(kāi)發(fā)和實(shí)驗(yàn)版本。該公司警告稱(chēng)，用戶應(yīng)立即停止在工作或個(gè)人活動(dòng)中使用任意 Fedora 41 或者 Fedora RAWHIDE 實(shí)例。目前排查結(jié)果顯示 Red Hat Enterprise Linux（RHEL）沒(méi)有任何版本受到影響。

此外，Debian 安全團(tuán)隊(duì)也在適用于 Debian unstable（Sid）發(fā)行版的 XZ5.6.x版本中找到了相關(guān)證據(jù)，證明存在后門(mén)，可以注入相關(guān)代碼。在受影響的 Debian 測(cè)試版、不穩(wěn)定版和實(shí)驗(yàn)版中，XZ 已被還原為上游的 5.4.5 代碼。

安全影響

微軟軟件工程師安德烈斯?弗羅因德（Andres Freund）在一臺(tái) Linux 盒子上調(diào)查 Debian Sid（Debian 發(fā)行版的滾動(dòng)開(kāi)發(fā)版本） SSH 登錄緩慢問(wèn)題時(shí)，發(fā)現(xiàn)了這個(gè)安全問(wèn)題。他發(fā)現(xiàn) XZ 格式壓縮實(shí)用程序 xz-utils 的上游源代碼壓縮包已被破解，并在構(gòu)建時(shí)向生成的 liblzma5 庫(kù)中注入惡意代碼。盡管弗羅因德表示目前并未找到在 XZ 5.6.0 和 5.6.1 版本中添加惡意代碼的確切目的，但這一供應(yīng)鏈安全問(wèn)題已經(jīng)被 Red Hat 跟蹤，并將其嚴(yán)重性評(píng)分定為 10/10。

應(yīng)對(duì)措施

為了解決這個(gè)問(wèn)題，Red Hat 正在跟蹤這一供應(yīng)鏈安全問(wèn)題，將其命名為 CVE-2024-3094，并將其嚴(yán)重性評(píng)分定為 10/10。同時(shí)，F(xiàn)edora 40 測(cè)試版中已恢復(fù)使用5.4.x版本的 XZ。對(duì)于其他可能受到影響的系統(tǒng)，用戶需要及時(shí)更新或卸載可能存在問(wèn)題的 XZ 工具版本，以防止?jié)撛诘陌踩L(fēng)險(xiǎn)。

總的來(lái)說(shuō)，這次事件再次提醒了我們?cè)谑褂瞄_(kāi)源軟件時(shí)需要注意的安全問(wèn)題，尤其是對(duì)于那些核心組件，我們需要更加謹(jǐn)慎地對(duì)待其安全性。