xz工具供应链后门事件 紧急处理

2024-04-02 917 0

编者寄语

社会教育的善良是实事求是,相互竞争,相互协作,协作大于竞争。希望每一个人为下一代营造宽松,法治清明,现代文明的环境而努力。

了解xz-utils工具

xz-utils是一个软件包,提供命令行工具,用于处理使用XZ格式压缩的文件。XZ格式是一种高压缩的开源数据压缩格式,旨在提供比GZIP和BZIP2等其他流行的压缩格式更好的压缩比。

xz-utils软件包包括几个命令行工具,允许您以XZ格式压缩和解压缩文件。以下是xz-utils提供的一些常用工具:

xz:此工具用于将文件或目录压缩为XZ格式。它支持各种压缩选项,例如压缩级别、线程使用和内存使用。

unxz:此工具用于解压缩使用XZ压缩的文件。它自动检测压缩格式并相应地解压缩文件。

xzcat:此工具类似于cat命令,但它专门适用于XZ压缩文件。它解压缩文件,并将未压缩的内容打印到标准输出。

lzma:此工具使用LZMA算法为压缩和解压缩提供了一个较低级别的接口,LZMA算法是XZ格式中使用的底层算法。它对压缩选项提供了更细粒度的控制,但需要更多的手动配置。这些工具通常在类Unix系统中用于处理XZ压缩文件。它们可以集成到shell脚本中,也可以直接从命令行使用。xz-utils软件包通常在大多数Linux发行版的软件包存储库中可用,并且可以使用特定于您的发行版的软件包管理器进行安装,例如基于Debian的系统的apt或基于Red Hat的系统的yum。

紧急操作

使用Mac本的同学可以先做以下操作:

  1. 查询自己使用的xz-utils版本

xz工具供应链后门事件 紧急处理插图

5.4.6安全版本

  1. 如有mac xz版本5.6.0和5.6.1,请按照下面操作。

xz --versionbrew uninstall --ignore-dependencies xzbrew uninstall --force xzxz --version

  1. 升级下brew

brew updatebrew upgrade

xz工具供应链后门事件 紧急处理插图1

其他linux操作系统按照对应操作系统的命令脚本对对应操作。如下:

xz工具供应链后门事件 紧急处理插图2

  1. 完整check shell脚本

见华山论剑

安全漏洞发现

Andres Freund 在 2024 年 3 月 29 日发现了一个在 xz-utils 注入的后门。我们都知道xz-utils是基于操作系统内核的工具,用来压缩文件。

Fedora理事会于3月29日星期五收到了与xz工具和库有关的CVE-2024-3094的通知。此时,Fedora Rawhide用户可能已经收到了受污染的软件包。如果系统在3月2日至3月6日期间更新,Fedora Linux 40分支用户(即测试前)可能会收到潜在易受攻击的5.6.0-2.fc40构建。仅使用稳定存储库的Fedora Linux 40 Beta用户不会受到影响。Fedora Linux 39和38用户也不受影响。

恶意行为者破坏软件或硬件供应链,将隐藏的漏洞或后门引入产品。操作系统提供商和开发者很容易将漏洞引入到自己软件或者产品中。这允许攻击者在部署受损产品后获得对系统或数据的未经授权的访问。

xz工具供应链后门事件 紧急处理插图3

后门在编译阶段被注入,可以绕过auth,直接通过SSHD进行远程代码执行。

OpenSSH中的RCE是指影响OpenSSH软件的远程代码执行漏洞。OpenSSH是安全外壳(SSH)协议的广泛使用的开源实现,它提供安全的远程访问和安全的文件传输功能。   在OpenSSH的上下文中,RCE漏洞将允许攻击者在运行受影响版本的OpenSSH的目标系统上执行任意代码。这意味着攻击者可能会未经授权访问系统,并可能完全控制它。

重要的是要注意,虽然软件中可能存在漏洞,但让软件与最新的安全补丁和更新保持同步至关重要,以降低此类漏洞被利用的风险。OpenSSH有积极解决安全问题的历史,OpenSSH开发团队定期发布安全补丁,以修复漏洞并提高软件的安全性。    如果您担心OpenSSH安装的安全性,建议您定期更新到官方OpenSSH项目或操作系统软件包管理器提供的最新版本。此外,遵循安全配置的最佳实践,例如禁用不安全的身份验证方法和强制执行强密码或基于密钥的身份验证,可以进一步提高OpenSSH设置的安全性。

可以成功利用此漏洞可以允许在登录用户的上下文中远程执行代码。根据与用户关联的特权,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。

各平台响应

1 github设置xz代码库disabled

苹果和其他受影响的公司也做出了一些响应。

研发者感受

釜底抽薪

xz工具供应链后门事件 紧急处理插图4

原理分析

xz工具供应链后门事件 紧急处理插图5

禁用Landlock沙盒的语法错误(也许有效负载影响的不仅仅是sshd)

溯源

果您随着时间的推移绘制Jai Tan的提交历史记录,与其余活动相比,一组违规提交发生在不寻常的时间。如果开发人员被攻击了,这可能是一个迹象,表明威胁行为者在他们自己的时区做出了贡献。

xz工具供应链后门事件 紧急处理插图6

xz工具供应链后门事件 紧急处理插图7

开放讨论

关于此次供应链后门事件,对Linux代码提交的影响,对开源后续发展的影响,以及对开源安全的推动。

相关文章:

  1. Fortinet防火墙身份认证绕过漏洞复现和利用(CVE-2022-40684)
  2. I Doc View任意文件上传漏洞复现
  3. 企业暴露面收敛管理
  4. chrome v8漏洞CVE-2021-30632浅析
  5. thinkphp多语言RCE原理分析

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评
漏洞分析
0 0

相关文章

如何使用CODASM编码Payload并降低熵值
SessionExec:一款针对会话安全的安全命令测试工具
Arkime:一款大规模数据包捕获和索引数据库系统
从蓝队流量角度分析Shiro-550反序列化漏洞
万字长文浅谈三高系统建设方法论和实践
你遇到过哪些奇葩面试题目;如何考察渗透测试与安全管理能力| FB甲方群话题讨论

发布评论