台北市民權東路三段37號15樓
台北市民權東路三段37號15樓
網路安全研究人員近日發現,XZ Utils資料壓縮程式庫的5.6.0和5.6.1兩個版本中有可被利用之後門,這個後門可讓攻擊者繞過SSHD的身分認證機制,進而針對受影響的系統做到未經授權的存取,同日Red Hat也發布相關緊急安全通告,指出CVE-2024-3094是CVSS v3風險層級滿分10分的漏洞,目前已確認受漏洞影響的Linux發行版有Fedora 41、42、Kali Linux、openSUSE Tumbleweed及部分Debian版本。所有版本的Red Hat Enterprise Linux都未受影響。
關於此次後門的影響,在Red Hat發布的緊急安全通告中也有說明,惡意程式碼修改了XZ Utils套件中名為liblzma部分程式碼的功能,這也導致每一軟體連結到XZ Utils,並允許變更與程式庫一起使用的資料,都會受到影響,駭客是透過Tukaani專案的GitHub帳號,分四次提交惡意程式碼至XZ Utils原始碼庫。有研究人員懷疑該帳號被駭或是內賊所為。此一供應鏈攻擊事件再次凸顯了開源專案的安全防護需要被重視。
緩解措施:切換至未被入侵污染的5.4.6 穩定版本
