安全通告

关于liblzma/xz官方库后门漏洞预警通告

发布日期：2024-4-1

[2024]007号

漏洞描述

2024年4月1日公司监测到liblzma/xz官方库存在后门漏洞。XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件，包含liblzma、xz等组件，已集成在debian、ubuntu、centos等发行版仓库中。该漏洞是由于开发者向软件中注入了恶意的后门程序，由于SSH底层依赖了liblzma，攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限，执行任意代码。

漏洞编号

暂无编号

漏洞危害

攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限，执行任意代码。

漏洞等级

高危
受影响版本

5.6.0<=XZ Utils<=5.6.1

修复方案

官方暂未发布针对此漏洞的修复版本官方暂未发布针对此漏洞的修复版本，建议安装XZ-Utils 5.6.0、5.6.1 版本用户卸载当前版本或者将xz降级至 5.4.6 版本。

参考链接

https://loudongyun.360.net/leakDetail/EV0vNLbbkUg%3D