关于XZ-Utils高危漏洞(CVE-2024-3094)的检测与修复方案

注意：若您是 XZ 压缩工具的用户，或者您的服务器安装了 XZ 压缩工具，建议您根据本文指引排查安全漏洞风险。

漏洞概述

XZ-Utils 包含 liblzma、xz 等组件，是 Linux、Unix 等 POSIX 兼容系统中广泛用于处理 .xz 文件的套件。该套件在 ubuntu、debian、centos 等发行版仓库中均有集成。2024年3月30日，安全社区披露其存在恶意后门风险，且被分配了漏洞编号（CVE-2024-3094）。该后门存在于 XZ Utils 的5.6.0和5.6.1版本中。由于SSH 底层依赖了 liblzma 等库，攻击者可能利用这一漏洞在受影响的系统上绕过 SSH 的认证获得未授权的访问权限，从而执行任意代码。

说明：目前，企业使用的主流 Linux 发行版（Red Hat/CentOS/Debian/Ubuntu）的 Stable 稳定版仓库中尚未合并该存在后门的软件版本。

受影响系统说明

使用了受影响版本 xz 的操作系统或软件如 openSUSE、Fedora 41、Liblzma、Debian 非稳定的测试版 5.5.1alpha-0.1 到 5.6.1-1，具体影响操作系统如下：

漏洞检测方法

排查 xz 漏洞版本：

通过命令行输入 xz –version 检查 xz 版本，如果输出为 5.6.0 或 5.6.1 ，说明系统可能受后门风险影响。

说明：xz 5.6.0 和 5.6.1 版本尚未被集成至 Linux 发行版中，目前主要存在于预发布版本中。

如果查出版本在受影响范围内，可利用如下自查脚本排查是否存在后门：

#! /bin/bash

set -eu

# find path to liblzma used by sshd

path=”$(ldd $(which sshd) | grep liblzma | grep -o ‘/[^ ]*’)”

# does it even exist?
if [ “$path” == “” ]
then
echo probably not vulnerable
exit
fi

# check for function signature
if hexdump -ve ‘1/1 “%.2x”‘ “$path” | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi

漏洞官方修复建议

目前 GitHub 已关停整个 xz 项目，官方尚无最新版本，需对软件版本进行降级5.4.X，请关注官方新版本发布并及时更新。

Fedora Linux 40 用户需 xz 回退到 5.4.x 版本可参见：

Urgent security alert for Fedora Linux 40 and Fedora Rawhide users

Fedora 软件包更新