author: Poplar at twilight
date: 2024-03-30 08:40:00 +0800
layout: post
license: CC-BY-SA-4.0
title: openSUSE 应对针对 xz 压缩库的供应链攻击
image: /assets/posts/misc/Tumbleweed-Logo.png
categories:
- 更新通告
tags: - 翻译作品
- 官方新闻
** 对于风滚草用户,建议立即更新系统至最新版本,并尽可能地将此供应链攻击信息通知其他的风滚草用户。**
openSUSE 维护人员收到了针对压缩工具 xz 和 liblzma5 库的供应链攻击通知。
背景
安全研究员 Andres Freund 向 Debian 报告称 xz/liblzma 库已被植入后门。
该后门是在 xz 的 github 上游项目 于 2024 年 2 月发布的 5.6.0 版本中植入的。
我们的滚动分支,openSUSE Tumbleweed 和 openSUSE MicroOS 在 3 月 7 日至 3 月 28 日期间发布的快照搭载了该版本。
SUSE Linux Enterprise 和 Leap 是独立于 openSUSE 构建的。Tumbleweed 的代码、功能和特性不会自动引入 SUSE Linux Enterprise 或 Leap。已确定 Tumbleweed 中引入的恶意文件不存在于 SUSE Linux Enterprise 或 Leap 中。
影响
目前的研究表明,该后门活跃于 SSH 守护进程中,允许恶意行为者访问 SSH 暴露于互联网的系统。
截至 3 月 29 日,后门的逆向工程仍在进行中。
缓解措施
openSUSE 维护人员已于 3 月 28 日回滚了 Tumbleweed 上的 xz 版本,并发布了从安全备份构建的新 Tumbleweed 快照(20240328 或更新的快照)。
回退版本为 5.6.1.revertto5.4,可通过 rpm -q liblzma5 查询。
推荐用户应采取的措施
对于将 SSH 在互联网上公开的 openSUSE Tumbleweed 用户,我们建议重新安装,因为不知道后门是否已被利用。由于后门的复杂性,不可能在系统上检测到漏洞。此外,我们强烈建议对可能从系统中获取的任何凭据进行轮换。否则,只需更新至 openSUSE Tumbleweed 20240328 或更高版本并重新启动系统即可。
其他社区相关的讨论
- 原文:每日消费电子观察
xz 在 GitHub 上发布的 tarball 的 m4 中包含了恶意后门代码。
如非特别标注,以下链接中内容均为英文。
oss-security 邮件列表: https://www.openwall.com/lists/oss-security/2024/03/29/4
debian-security-announce 邮件列表: [SECURITY] [DSA 5649-1] xz-utils security update
CVE: CVE Website
NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-3094
GitHub Advisory Database: Malicious code was discovered in the upstream tarballs of... · CVE-2024-3094 · GitHub Advisory Database · GitHub
Red Hat Customer Portal: cve-details
Red Hat Blog: Urgent security alert for Fedora 41 and Fedora Rawhide users
Red Hat Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2024-3094
Debian Security Bug Tracker: https://security-tracker.debian.org/tracker/CVE-2024-3094
SUSE Security: CVE-2024-3094 Common Vulnerabilities and Exposures | SUSE
SUSE Bugzilla: 1222124 – (CVE-2024-3094) VUL-0: CVE-2024-3094: xz: backdoored 5.6.0,5.6.1 version
Gentoo’s Bugzilla: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2024-3094
Arch Linux News: Arch Linux - News: The xz package has been backdoored
Arch Linux Advisories: [ASA-202403-1] xz: arbitrary code execution - Arch Linux
Everything I Know About the Xz Backdoor: Everything I know about the XZ backdoor
==== 忙着查资料的被子饼 ====
目前的证据表明这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本,且均已发布回退更新目前确定曾受影响的发行版:
Debian unstable/testing between 2024-02-26 and 2024-03-29
Ubuntu noble-proposed/noble-release between 2024-02-26 and 2024-03-29
Fedora 40/41(Rawhide) between 2024-02-27 and 2024-03-29
openSUSE Tumbleweed between 2024-03-07 and 2024-03-28
原文:openSUSE addresses supply chain attack against xz compression library,作者:Marcus Meissner