据 Red Hat 称,XZ Utils 的两个最新版本中已植入后门,这是一组“几乎每个 Linux 发行版中都存在”的数据压缩软件工具和库。
Red Ha和美国网络安全和基础设施安全局 (CISA) 周五警告称,XZ Utils 软件的供应链受到损害,影响了 Linux 发行版。
红帽在一份公告中表示,XZ Utils 是一组广泛使用的数据压缩软件工具和库,其两个最新版本“包含似乎旨在允许未经授权的访问的恶意代码” 。
据 IBM 旗下的 Red Hat 称,植入的代码存在于 XZ Utils 库的 5.6.0 和 5.6.1 版本中。
红帽表示,XZ Utils“几乎存在于每个 Linux 发行版中”。
Red Hat 表示,Fedora Linux 40 的用户“可能已经收到了 5.6.0 版本,具体取决于系统更新的时间”,而 Fedora Rawhide 用户“可能已经收到了 5.6.0 或 5.6.1 版本”。
红帽在帖子中表示:“请立即停止将任何 Fedora RAWHIDE 实例用于工作或个人活动。” “Fedora Rawhide 很快就会恢复到 xz-5.4.x,一旦完成,Fedora Rawhide 实例就可以安全地重新部署。”
红帽写道:“在适当的情况下,这种干扰可能会使恶意行为者破坏 [Secure Shell Daemon] 身份验证并获得对整个系统的远程未经授权的访问。”
该公司表示:“没有任何版本的红帽企业 Linux (RHEL) 受到影响。”
CISA在其通报中指出,XZ Utils“可能存在于 Linux 发行版中”,并且“恶意代码可能允许对受影响的系统进行未经授权的访问”。
该机构表示:“CISA 建议开发人员和用户将 XZ Utils 降级到未受影响的版本,例如 XZ Utils 5.4.6 Stable,以查找任何恶意活动并向 CISA 报告任何积极的发现。”
通过明显的供应链黑客攻击插入的漏洞正在 CVE-2024-3094 中进行跟踪。
供应链妥协包括迄今为止最广泛感受到的一些网络攻击,包括 2020 年的 SolarWinds 供应链攻击和 2021 年的 Kaseya VSA 攻击。最近,通信软件制造商 3CX 在 2023 年 3 月遭受了供应链妥协。
