XZ-Utils 5.6.0-5.6.1版本存在后门风险 (CVE-2024-3094)

2024年3月30日下午12:00 • 漏洞

漏洞类型	隐藏功能	发现时间	2024-03-30	漏洞等级	严重
MPS编号	MPS-03mz-nh7f	CVE编号	CVE-2024-3094	漏洞影响广度	小

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件，包含liblzma、xz等组件，已集成在Debian、Ubuntu、CentOS等发行版仓库中。
开发者JiaT75在其GitHub仓库中发布的5.6.0和5.6.1版本（github.com/tukaani-project/xz/releases/）加入了后门逻辑，使得构建的liblzma包含额外的耗时计算逻辑。
systemd依赖liblzma，导致sshd等依赖于systemd的应用程序也受到影响，sshd服务启动速度变慢，存在未授权访问风险。
存在后门版本的xz-utils官方发布于2024年2月24日，被Debian unstable分支、Fedora Rawhide、Fedora 40、Arch Linux等少数仓库集成，暂未被大规模应用，CentOS/Redhat/Ubuntu/Debian/Fedora等stable仓库不受影响。
参考链接：https://www.oscs1024.com/hd/MPS-03mz-nh7f

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
xz-utils [5.6.0, 5.6.1]	降级	将xz-utils降级至5.6.0以前版本或在应用中替换为7zip等组件
参考链接：https://www.oscs1024.com/hd/MPS-03mz-nh7f

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-03mz-nh7f

https://www.openwall.com/lists/oss-security/2024/03/29/4

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

https://salsa.debian.org/debian/xz-utils/-/blob/debian/unstable/m4/build-to-host.m4?ref_type=heads#L63

https://github.com/tukaani-project/xz/releases

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

CVE-2024-3094 漏洞

赞 (0)

泛微E-Office10 < 10.0_20240222 远程代码执行漏洞 (MPS-4tme-or5n)

上一篇 2024年3月28日下午12:00

Jumpserver<3.10.7 Ansible Playbook远程代码执行漏洞 (CVE-2024-29201)

下一篇 2024年3月30日下午12:00

漏洞

Apache Camel JDBCAggregationRepository反序列化漏洞 (CVE-2024-22369)

漏洞类型反序列化发现时间 2024-02-20 漏洞等级高危 MPS编号 MPS-03tm-wyhp CVE编号 CVE-2024-22369 漏洞影响广度小漏洞危害 OSCS 描述 Apache Camel 是开源的系统间数据交互集成框架。在受影响版本中，由于对JDBCAggregationRepository中exchange的实现存在未限制…

2024年2月20日
00
漏洞

Node.js 存在权限提升漏洞 (CVE-2024-21892)

漏洞类型权限管理不当发现时间 2024-02-21 漏洞等级高危 MPS编号 MPS-lvsi-p1yd CVE编号 CVE-2024-21892 漏洞影响广度广漏洞危害 OSCS 描述 Node.js 是开源、跨平台的 JavaScript 运行时环境，CAP_NET_BIND_SERVICE 是Linux操作系统中的一种特殊能力(capabil…

2024年2月22日
00
漏洞

Spring AMQP 反序列化漏洞 (CVE-2023-34050)

漏洞类型反序列化发现时间 2023-10-18 漏洞等级中危 MPS编号 MPS-1mr6-9hnw CVE编号 CVE-2023-34050 漏洞影响广度广漏洞危害 OSCS 描述 Spring AMQP是将核心 Spring 概念应用于基于 AMQP 的消息传递解决方案的开发。 Spring AMQP中支持添加反序列化类名白名单，用于防止恶意类…

2023年10月19日
00
漏洞

Apache Superset 默认示例数据库权限提升漏洞 (CVE-2023-40610)

漏洞类型 SQL注入发现时间 2023-11-27 漏洞等级高危 MPS编号 MPS-iztk-bu2h CVE编号 CVE-2023-40610 漏洞影响广度广漏洞危害 OSCS 描述 Apache Superset 是一个开源的数据可视化和业务智能平台，可用于数据探索分析和数据可视化。受影响版本中，默认情况下示例数据库表是在 Superset …

2023年11月28日
00
漏洞

GitLab 账号接管漏洞 (CVE-2023-7028)

漏洞类型从非可信控制范围包含功能例程发现时间 2024-01-12 漏洞等级严重 MPS编号 MPS-vbt9-zgx1 CVE编号 CVE-2023-7028 漏洞影响广度广漏洞危害 OSCS 描述 GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台 GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码，默认情况允许…

2024年1月12日
00