XZ是類Unix操作系統(tǒng)上的一種無損數(shù)據(jù)壓縮格式，通常與gzibzip2 等其他常見數(shù)據(jù)壓縮格式進行比較。 XZ Utils是一個命令行工具，包含XZ文件和liblzma的壓縮和解壓縮功能，liblzma是一種用于數(shù)據(jù)壓縮的類似zlib的API，并且還支持舊版 .lzma 格式。

3月29日，有開發(fā)人員在安全郵件列表上發(fā)帖稱，他在調查SSH性能問題時發(fā)現(xiàn)了涉及XZ包中的供應鏈攻擊，進一步溯源發(fā)現(xiàn)SSH使用的上游liblzma庫被植入了后門代碼，惡意代碼可能允許攻擊者通過后門版本的SSH非授權獲取系統(tǒng)的訪問權限。惡意代碼修改了liblzma代碼中的函數(shù)，該代碼是XZ Utils軟件包的一部分，鏈接到 XZ 庫的任何軟件都可以使用此修改后的代碼，并允許攔截和修改與該庫一起使用的數(shù)據(jù)。

事件歷程

2021年，一個名為 JiaT75（Jia Tan）的用戶在 GitHub 上創(chuàng)建了賬戶，并向 libarchive 項目提交了一個看似無害但實際可疑的補丁。這個補丁被合并到了代碼中。

2022年，Jia Tan 通過郵件列表提交了一個補丁，隨后一個新的人物 Jigar Kumar 開始施壓要求合并這個補丁。不久之后，Jigar Kumar 開始向 XZ 項目的維護者 Lasse Collin 施壓，要求增加另一位維護者。在這一過程中，JiaT75 開始對 XZ 項目做出貢獻。

2023年，JiaT75 在 1 月 7 日合并了他們的第一個提交，表明他們已經(jīng)獲得了足夠的信任。3 月份，Google 的 oss-fuzz 項目的主要聯(lián)系郵箱被更新為 Jia 的郵箱。

2024年，有人發(fā)現(xiàn)并報告了一個上游 XZ/liblzma 庫中的后門，這個后門可能導致 SSH 服務器被攻陷。這個發(fā)現(xiàn)通過電子郵件發(fā)送給了 oss-security 郵件列表，并在文章中提供了詳細的技術分析。

受影響版本

目前已知XZ Utils版本5.6.0和5.6.1受到影響，惡意代碼還不存在于XZ的Git發(fā)行版中，僅存在于完整的下載包中。 已知的Linux發(fā)行版：

• XZ Utils == 5.6.0
• XZ Utils == 5.6.1

自查腳本

#! /bin/bash
set -eu
# 查找利用liblzma的sshd路徑
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"


# 檢驗調用路徑是否存在
if [ "$path" == "" ]
then
  echo "XZ-CVE-2024-3094漏洞不存在"
  exit
fi


# 檢驗函數(shù)簽名
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
  echo "XZ-CVE-2024-3094漏洞存在"
else
  echo "XZ-CVE-2024-3094漏洞不存在"
fi

或手動運行 xz -V 或 xz -version檢查xz版本。

解決方案

若使用了受影響版本xz/liblzma的操作系統(tǒng)（Fedora 41、Debian sid 測試版等）建議更新至安全版本。具體詳情可在查詢 https://repology.org/project/xz/versions