XZ Utils 后门(CVE-2024-3094).

2024 年险些得手的供应链攻击:一名长期贡献者在大多数 Linux 发行版使用的 xz/liblzma 上游库中植入了被混淆的 SSH 后门。 它属于网络安全的 攻击与威胁 分类。

2024 年险些得手的供应链攻击:一名长期贡献者在大多数 Linux 发行版使用的 xz/liblzma 上游库中植入了被混淆的 SSH 后门。

XZ Utils 后门(CVE-2024-3094)是一起软件供应链入侵事件,由微软工程师 Andres Freund 于 2024 年 3 月 29 日披露。他在 Debian sid 系统上发现 sshd 的 CPU 占用异常并出现 Valgrind 报错,进而展开调查。调查发现,xz/liblzma 上游维护者 'Jia Tan' ——一个用近两年时间在项目中积累信任的化名——提交了被混淆的构建脚本。当这些代码在基于 rpm 或 deb 的发行版中打包,并通过 systemd 的 libsystemd → liblzma 依赖链被加载时,会借助 IFUNC 解析器替换 OpenSSH 服务端的一个函数,从而让持有特定 Ed448 私钥的攻击者实现远程代码执行。恶意代码出现在 xz-utils 5.6.0 与 5.6.1 中,波及 Debian testing/unstable、Fedora 40/41(Rawhide)、openSUSE Tumbleweed、Kali 与 Arch,但在多数稳定版本发布前被拦截。该事件重新唤起了业界对单一维护者依赖、IFUNC 隐蔽手法以及「长期贡献者天然可信」假设的反思。

针对 XZ Utils 后门(CVE-2024-3094) 的防御通常结合技术控制与运营实践,详见上方完整定义。

常见的别称包括: CVE-2024-3094, Jia Tan 后门, liblzma 后门。