安全无忧,放心使用!openEuler各版本均不受xz后门影响

近日,微软的安全研究员Andres Freund调查程序性能下降时发现并揭露了开源项目xz-utils存在的后门漏洞。OpenAtom openEuler社区安全委员会第一时间进行分析排查,经验证,openEuler操作系统均不受xz后门影响,本文将深入探讨CVE-2024-3094漏洞以及openEuler的漏洞管理流程。

漏洞描述

xz是用于压缩/解压缩文件的一款压缩库,微软的安全研究员Andres Freund调查程序性能下降时发现了该漏洞,xz漏洞从5.6.0版本开始存在恶意后门,该后门存在于XZ Utils的5.6.0和5.6.1版本中,如果机器上装有涉及CVE-2024-3094缺陷的xz软件,远程攻击者能够通过SSH发送任意代码,造成远端任意代码执行,进而有效控制受害者的整台机器。

解决方案

卸载/弃用xz 5.6.0/5.6.1缺陷版本,可使用openEuler社区发行的xz稳定版本xz 5.2.5

openEuler的漏洞响应

● 2024年3月28日,openEuler初步感知到xz 5.6.0/5.6.1版本存在安全风险。立即发起了对openEuler 2203-LTS,2003-LTS各个发行分支,以及测试中的分支2403-LTS进行全量的软件版本排查,最后确认有缺陷的xz 5.6.0/5.6.1版本没有引入openEuler仓库。

● 2024年3月29日, openwall 披露了xz CVE-2024-3094的攻击代码和攻击手段。openEuler安全团队实时跟进,组织相关技术人员分析openEuler xz的源码是否存在恶意攻击代码,从源码代码层面确认了CVE-2024-3094漏洞不涉及openEuler xz软件。

openEuler的漏洞管理流程

openEuler社区非常重视社区版本的安全性,社区安全委员会制定了一套社区漏洞处理策略和流程,包括漏洞感知、漏洞确认和评估、漏洞修复以及漏洞披露等阶段。

每一个安全漏洞都会有一个指定的人员进行跟踪和处理,协调员是 openEuler 安全委员会的成员,他将负责跟踪和推动漏洞的修复和披露。漏洞端到端的处理流程如下图。

安全漏洞更新维护是操作系统版本安全的重要组成。openEuler 安全委员会制定了严格的漏洞处理流程,让openEuler安全无忧,放心使用。

如果您对openEuler安全委员会感兴趣可以添加小助手微信"openeuler123",备注【安全】,加入安全委员会交流群。

相关推荐
EasyGBS15 分钟前
视频设备轨迹回放平台EasyCVR打造视频智能融合新平台,驱动智慧机场迈向数字新时代
网络·人工智能·安全·音视频
EasyGBS44 分钟前
视频设备轨迹回放平台EasyCVR综合智能化,搭建运动场体育赛事直播方案
网络·安全·音视频
这儿有一堆花1 小时前
Kali Linux 2025.1a:主题焕新与树莓派支持的深度解析
linux·运维·服务器
Kusunoki_D1 小时前
使用 VIM 编辑器对文件进行编辑
linux·编辑器·vim
wanhengidc1 小时前
算力服务器和普通服务器之间的不同之处
运维·服务器
阿噜噜小栈2 小时前
最新国内可用的Docker镜像加速器地址收集
运维·笔记·docker·容器
缘友一世2 小时前
开源的 LLM 应用开发平台Dify的安装和使用
开源·llm·ollama·deepseek
低头不见3 小时前
tcp的粘包拆包问题,如何解决?
网络·网络协议·tcp/ip
SKYDROID云卓小助手5 小时前
三轴云台之相机技术篇
运维·服务器·网络·数码相机·音视频