一、背景介绍
近日,市委网信办技术支撑单位监测到XZ-Utils⼯具库恶意后⻔漏洞(CVE-2024-3094),建议受影响的用户尽快修复漏洞。
1.1 漏洞描述
XZ-Utils是Unix等操作系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件。在XZ Utils的5.6.0和5.6.1版本中,由于SSH底层依赖了liblzma等,攻击者可能利用这一后门在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。
1.2 漏洞编号
CVE-2024-3094
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
xz和liblzma 5.6.0-5.6.1版本
2.2 修复建议
临时缓解方案:
将XZ Utils版本降级至不受影响的版本。
官方修复方案:
及时关注官方发布的最新版本,受影响的用户建议更新至安全版本。