Linux xz 库中的恶意代码危及 SSH
Linux xz 库中的恶意代码危及 SSH
大多数用户不会受到此恶意软件的影响,但如果它再几个月未被发现,那么每个使用 Linux 的人都将面临有史以来最大的安全灾难。
您可能从未听说过 xz 数据压缩代码,但它对许多程序至关重要,而且我们现在知道有人在其中植入了恶意代码。
当红帽 首次爆料最新版本的 xz 数据压缩库包含陷阱时,人们感到担忧,但并没有太担心。毕竟,他们推断,许多人一开始似乎认为这只是另一个安全漏洞。而其他人则认为,如果它只影响 Fedora Linux 40 beta,情况可能有多糟糕?
答案是:确实非常非常糟糕。
您会发现,虽然头脑清醒的人不会在生产环境中运行 Fedora beta,但问题不在于 Fedora。它包含新的 xz 库:xz-libs-5.6.0-1.fc40.x86_64.rpm 和 xz-libs-5.6.0-2.fc40.x86_64.rpm。
这些库包含恶意代码,旨在使攻击者能够通过未经授权的访问来接管系统。该后门恶意软件被写入上游 xz 存储库,然后放入其 tarball 中。
红帽在其 CVE-2024-3094 报告中给这个恶意代码最高的通用漏洞评分系统 (CVSS) 评级为 10。或者,正如我喜欢称该级别的错误一样,它是“把电源线从墙上扯下来”现在就可以省去任何额外的痛苦时间。
Microsoft 首席软件工程师 Andres Freund 分析了 xz 恶意软件。弗罗因德发现攻击者注入了一个激活后门的混淆脚本。在某些情况下,其主要攻击不起作用,唯一的结果是大幅减慢 SSH 登录速度。
事实上,对于流行的 SSH 程序 OpenSSH 来说,您甚至不需要将其作为服务器启动,减速效果就会影响您的系统。由于 SSH 对于 Linux 开发和管理至关重要,这已经够糟糕的了。
真正使这成为 PITA 主要问题的是这些库不仅仅存在于 Fedora 中。天啊,不。Xz 是一个核心 Linux 实用程序。这些库随处可见。
此事件中最令人不安的是,黑客似乎是值得信赖的 xz 维护者 Jia Tan。
虽然维护人员之前曾将恶意代码注入到受信任的开源代码中,但这种情况确实很少见。据我所知,重要的 Linux 实用程序以前从未发生过这种情况。
不过草丛里可能藏着更多的安全蛇。弗罗因德承认,“我不是安全研究员,也不是逆向工程师。有很多东西我没有分析过,而且我观察到的大部分内容纯粹是来自观察,而不是详尽地分析后门代码。”
好消息是,xz 5.6.0 和 5.6.1 尚未广泛包含在 Linux 发行版中。在合并的地方,代码大部分都是预发布版本。坏消息是,除了 Fedora 之外,它已经存在于 Debian、openSUSE、Ubuntu 等的早期版本中。只要你能想到的,它是一个尖端发行版或测试版,很可能坏代码就隐藏在里面。
所以你对此能做些什么?好吧,默认建议是恢复 xz 5.6.0/5.6.1。但是,Debian 开发者 Joey Hess 警告说,这可能还不够。Hess 担心 Tan 可能在 xz 中隐藏了其他后门。Hess 建议您一路恢复到 xz 5.3.1。
当然,如果您可以找到该代码。GitHub 已禁用 xz 存储库。这确实是一个一流的、令人震惊的安全混乱。
人们长期以来一直关注 xz 的代码质量,甚至该项目的一些基本前提。有了这个错误,我认为是时候认真考虑拉出 xz 并从源代码中替换它了。
大多数用户不会受到这种恶意软件的影响,但如果它再两三个月未被检测到,那么每个使用 Linux 的人都将面临有史以来最大的安全灾难。