XZ是一种数据压缩格式,几乎存在每个Linux发行版中。liblzma是一个处理XZ压缩格式的开源软件库。3月29日开发人员发现XZ包的供应链攻击,溯源发现SSH上游liblzma库被植入后门木马,当满足一定条件时,会解密流量里的C2命令执行。
- 漏洞编号: CVE-2024-3094
- CVSS 3.1评分:10.0
- 威胁类型:供应链攻击、后门
- POC状态:已公开
- EXP状态:已公开
- xz == 5.6.0、5.6.1
- liblzma == 5.6.0、5.6.1
| OS | Package name | Package version(s) | Fix package version | Reference |
|---|---|---|---|---|
| Fedora 40, Rawhide | xz | 5.6.0, 5.6.1 | Revert to 5.4.x | Details |
| Debian unstable (Sid) | xz-utils | 5.6.1 | Revert to 5.4.5 | Details |
| Alpine edge | xz | 5.6.1-r2 | Revert to 5.4.x | Details |
| Arch Linux | xz | 5.6.0-1, 5.6.1-1 | Upgrade to 5.6.1-2 | Details |
| openSUSE Tumbleweed openSUSE MicroOS | xz | 5.6.0 | Revert to 5.4.x | Details |
目前暂无最新版本,需要对XZ版本进行降级到5.4.x