CVE-2024-3094:Linux生态供应链攻击

作者:皮卡丘

CVE-2024-3094:供应链攻击?

一个潜伏3年只为通杀的漏洞,今天更新了一个CVE漏洞,XZ-utils5.6.0/5.6.1版本后门风险(CVE-2024-3094)这个后门并非作者无意加入的,也不是引入存在后门的库文件导致的问题,而是有人经过三年的潜伏,积极参与该项目的维护,在获得了直接commit代码的权限以后将后门代码注入其中。

这个代码一共存活了不到2个月的时间,发现者是PostgreSQL 开发人员兼软件工程师 Andres Freund 意外发现的,在观察到 liblzma(xz 包的一部分)Debian sid(使用 ssh 登录占用了大量 CPU,valgrind 错误,然后找见了上游 xz 存储库和 xz tarball 已被后门。

幸运的是,xz 5.6.0 和 5.6.1 尚未被 Linux 发行版广泛集成,而且大部分是在预发行版本中。

但是kali linux如果每周更新或者最近3月26到29号之间更新了,不好意思。

根据kali官方说法希望更新,

首先我们apt-cache policy liblzma5

更新命令

sql 复制代码
sudo apt update && sudo apt install -y --only-upgrade liblzma5

更新

难的追一回滚动更新就这样玩吗?看来以后也不要追最新的。

当然我们还可以cat /var/log/apt/history.log 查看更新时间和都更新了哪些内容!

附:

各大linux系统可以查看自己对应的系统,查看官网说明

比如我的kali可以直接在https://www.kali.org/blog/about-the-xz-backdoor/看到

当然了这个供应链后门只能说差一点就完美成功,因为他写的有bug在sshd运行的时候直接cpu飙升,引起了研究员的注意,否则如果在发行版中大规模集成,估计可以造成linux的一个通杀,现在只是在预发行版中,但是更新快的比如kali linux中如果滚动更新那么就会被影响到。

参考链接:

https://www.kali.org/blog/about-the-xz-backdoor/

https://avd.aliyun.com/detail?id=AVD-2024-3094

https://github.com/advisories/GHSA-rxwq-x6h5-x525

--- 实验室旗下直播培训课程 ---

<>

和20000+位同学加入MS08067一起学习

相关推荐
DianSan_ERP7 小时前
电商架构演进:如何在高并发场景下实现多平台API的标准化履约?
运维·前端·网络·安全·架构·自动化
恒5397 小时前
Linux文件系统I
linux·运维·服务器
阿成学长_Cain7 小时前
Linux ipcs 命令超全详解:查看共享内存 / 消息队列 / 信号量,IPC 运维必备
linux·运维·服务器·网络·数据库
黯然神伤8887 小时前
AlmaLinux设置软件下载源
linux·alma
青瓦梦滋7 小时前
协议定制/序列化-反序列化(Linux视角)
linux·服务器·网络·c++
运维老郭10 小时前
【K8s运维实战】Kubernetes临时存储卷实战:emptyDir核心用法与gitRepo弃用迁移指南
运维·云原生·kubernetes
珠海西格电力10 小时前
云边端协同架构:零碳园区管理系统的技术底座
大数据·运维·人工智能·算法·架构·能源
阿成学长_Cain10 小时前
Linux dirs命令详解|Bash目录堆栈管理快速切换目录实战教程
linux·运维·前端·数据库
小羊Yveesss11 小时前
2026年微信小程序后端怎么搭建?后台、数据、接口和运维怎么选
运维·微信小程序·小程序