29 年 2024 月 XNUMX 日星期五,红帽(IBM)发布的紧急通知震惊了 Linux 社区。 在这篇文章中,我们将解释 XZ Utils 的安全问题到底是什么、哪些 Linux 发行版受到影响以及如何解决。
Linux 上的 xz utils 库 是一组数据压缩和解压缩实用程序,我们几乎可以在所有 Linux 发行版中找到它们。 它主要用于将大文件压缩成占用空间较小的格式。
XZ Utils 的安全问题
该安全报告的得分为 10.0(最严重),影响版本 5.6.0 和 5.6.1。 第一个于24月9日发布,第二个于XNUMX月XNUMX日发布。根据红帽报告:
通过一系列复杂的混淆,liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件,该文件 然后用来修改liblzma代码中的具体函数
这会导致修改后的 liblzma 库 可以被链接到该库的任何软件使用,拦截和修改与该库的数据交互。
在该项目的 GitHub 存储库之一中引入的恶意代码, 由名为 Jia Tan 的用户添加,其具体功能是通过 systemd 干扰 SSH(Secure Shell)的 sshd 守护进程,最终使网络犯罪分子更容易破解 sshd 身份验证。 并获得未经授权的远程访问系统。
所有与所谓的 Tukani 项目(Jia Tan 参与的项目)相关的存储库均已被 GitHub 取消注册,尽管原始维护者否认与该问题有任何关系。
受影响的发行版
大多数受影响的发行版都处于测试或滚动发布阶段,尽管它们都已经发布了安全更新。
- Fedora 40、Fedora 41 和 Fedora Rawhide。
- Kali Linux 于 26 月 29 日至 XNUMX 日之间更新。
- openSUSE Tumbleweed 和 openSUSE MicroOS 于 7 月 28 日至 XNUMX 月 XNUMX 日期间更新。
- Debian 测试,不稳定且处于实验阶段。
对于 Ubuntu 24.04,建议添加受影响的软件包,但尚未安装。
负责任的
负责该库的 Tukaani 项目维护者 Lasse Collins 做出了以下澄清:
- git 存储库 git.tukaani.org 仍然处于活动状态。
- 只有贾坦签名的包裹受到影响。
- 由于 GitHub 不仅迁移了 Jia Tan 的存储库,还迁移了与该库相关的所有内容(包括网站),因此从现在开始该项目可能会继续使用 tukaani.org 域。
发现
最先发现这个问题的是一位与微软有联系的研究人员,名叫安德烈斯·弗罗因德 (Andrés Freund),他 他对 Debian Sid 在通过 SSH 登录时过度消耗 CPU 感到震惊。 安德烈斯认为贾坦应对此负责,因为他的补丁在不同的邮件列表上传播。
我们能学到什么
在这种情况下,免费和开源软件的优势对我们有利。研究人员发现了这个问题并很快得到了解决。但是,在祝贺自己之前,让我们想一想:
- 为 安全专家 这背后的Thadeus Grugq是一个国家的结构。如果没有检测到问题,攻击者就可以访问大多数连接到互联网的 Linux 发行版。
- 通过 加密专家 Fillippo Valsorda,这可能是我们所见过的公开描述的执行得最好的攻击,这是一个噩梦般的场景:恶意的,做得很好,并且通过了对广泛使用的库的所有检查。
问题的根源在于 此消息由该项目的原始维护者于 2022 年发布
我并没有失去兴趣,但我的护理能力相当有限,主要是由于长期的心理健康问题,但也由于其他一些原因。我最近在 XZ Utils 与 Jia Tan 合作,也许将来我会扮演更重要的角色,我们拭目以待。
还需要记住的是,这是一个无偿的爱好项目。
无论如何,我向你保证,我太了解这个问题了,以至于没有取得太大进展。寻找新维护者的想法也已经存在很长时间了,因为目前的情况对于该项目来说显然是糟糕和悲伤的。
这不是我们第一次在自由软件领域遇到问题,因为大型发行版使用的组件是由工资低且经常精疲力竭的志愿者开发的,他们在空闲时间尽其所能 而且,计算机犯罪分子似乎已经决定利用它们