一、 基本情况

XZ-Utils是Linux/Unix系统中用于处理.xz和.lzma文件的命令行压缩工具，集成了liblzma等组件。

二、 漏洞描述

国外安全研究员发布消息，在xz-utils软件包5.6.0到5.6.1版本中，存在供应链攻击及植入后门风险，漏洞编号为CVE-2024-3094，漏洞的CVSS评分为10.0。

3月29日，微软PostgreSQL开发人员Andres Freund在调查SSH性能问题时，在开源安全邮件列表中发帖称，他在xz软件包中发现了一个涉及混淆恶意代码的供应链攻击。恶意代码修改了liblzma代码中的函数，该代码是 XZ Utils软件包的一部分。由于SSH底层依赖了liblzma等组件，攻击者可能利用这一漏洞破坏sshd认证，并远程获取对整个系统的未授权访问。

三、 影响范围

XZ Utils == 5.6.0

XZ Utils == 5.6.1

目前已知Fedora 40、RedHat 全部版本、Debian 所有稳定版、SUSE全部版本等Linux发行版不易受到影响。具体受影响系统及zx版本可参考：

https://repology.org/project/xz/versions

四、 修复建议

用户可以通过执行以下命令判断使用的xz是否为受影响的版本：

xz –-version

如果确认受影响，可将XZ Utils降级到未受影响的版本，如XZ Utils 5.4.6 Stable。

注：目前https://github.com/tukaani-project/xz存储库已被禁用。

五、 参考链接

https://access.redhat.com/security/cve/CVE-2024-3094 

https://bugzilla.redhat.com/show_bug.cgi?id=2272210  

https://www.openwall.com/lists/oss-security/2024/03/29/4  

https://www.kaspersky.com/blog/cve-2024-3094-vulnerability-backdoor/50873/

https://tukaani.org/xz-backdoor/