来自公众号:信安之路近日更新了一个 CVE 漏洞,XZ-Utils 5.6.0/5.6.1版本后门风险(CVE-2024-3094),来自阿里云漏洞库的介绍如图:这个后门并非作者无意间编写加入,也不是引入存在后门的库文件而导致的问题,而是有人经过三年的潜伏,积极参与该项目的维护,在逐渐获得信任之后,获得了直接 commit 代码的权限,之后悄无声息的将后门代码注入其中。这个事件算是一个典型的 APT 攻击事件,结合了社会工程学,实现了典型的供应链攻击,5.6.0 发布在 2 月下旬、5.6.1 发布在 3 月 9 日,一共存活不到两个月,发现者是 PostgreSQL 开发人员兼软件工程师 Andres Freund 意外发现,下面是 Debain 只能够更新的记录:起因是登录 SSH 后,出现了 CPU 使用率过高,还有很多的 valgrind 错误,经过排查发现最近几周安装了 liblzma(xz 软件包的一部分),最终确定 xz 的 tarball
………………………………