據(jù) DoNews 報道，Linux 圈近期發(fā)生了一起重大安全事件，主流壓縮工具 XZ 被曝出存在后門。該事件引起了廣泛關(guān)注，包括紅帽、Debian 在內(nèi)的多家知名機構(gòu)已經(jīng)發(fā)布了安全公告，要求用戶緊急停用可能受到影響的 XZ 工具版本。

詳細情況

具體來說，Red Hat 公司在最新的 XZ Utils 數(shù)據(jù)壓縮工具和庫中發(fā)現(xiàn)了一個后門，并敦促用戶立即停止使用 Fedora 開發(fā)和實驗版本。該公司警告稱，用戶應(yīng)立即停止在工作或個人活動中使用任意 Fedora 41 或者 Fedora RAWHIDE 實例。目前排查結(jié)果顯示 Red Hat Enterprise Linux（RHEL）沒有任何版本受到影響。

此外，Debian 安全團隊也在適用于 Debian unstable（Sid）發(fā)行版的 XZ5.6.x版本中找到了相關(guān)證據(jù)，證明存在后門，可以注入相關(guān)代碼。在受影響的 Debian 測試版、不穩(wěn)定版和實驗版中，XZ 已被還原為上游的 5.4.5 代碼。

安全影響

微軟軟件工程師安德烈斯?弗羅因德（Andres Freund）在一臺 Linux 盒子上調(diào)查 Debian Sid（Debian 發(fā)行版的滾動開發(fā)版本） SSH 登錄緩慢問題時，發(fā)現(xiàn)了這個安全問題。他發(fā)現(xiàn) XZ 格式壓縮實用程序 xz-utils 的上游源代碼壓縮包已被破解，并在構(gòu)建時向生成的 liblzma5 庫中注入惡意代碼。盡管弗羅因德表示目前并未找到在 XZ 5.6.0 和 5.6.1 版本中添加惡意代碼的確切目的，但這一供應(yīng)鏈安全問題已經(jīng)被 Red Hat 跟蹤，并將其嚴重性評分定為 10/10。

應(yīng)對措施

為了解決這個問題，Red Hat 正在跟蹤這一供應(yīng)鏈安全問題，將其命名為 CVE-2024-3094，并將其嚴重性評分定為 10/10。同時，F(xiàn)edora 40 測試版中已恢復(fù)使用5.4.x版本的 XZ。對于其他可能受到影響的系統(tǒng)，用戶需要及時更新或卸載可能存在問題的 XZ 工具版本，以防止?jié)撛诘陌踩L險。

總的來說，這次事件再次提醒了我們在使用開源軟件時需要注意的安全問題，尤其是對于那些核心組件，我們需要更加謹慎地對待其安全性。