红帽公司周五发布了“紧急安全警报”，警告称流行的数据压缩库XZ Utils（以前称为 LZMA Utils）的两个版本已被恶意代码植入后门，旨在允许未经授权的远程访问。

软件供应链妥协的编号为CVE-2024-3094，CVSS 评分为 10.0，表明严重程度最高。它影响 XZ Utils 版本 5.6.0（2 月 24 日发布）和 5.6.1（3 月 9 日发布）。

IBM 子公司在一份公告中表示： “通过一系列复杂的混淆，liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件，然后用于修改 liblzma 代码中的特定功能。”

“这会产生一个修改后的 liblzma 库，任何与该库链接的软件都可以使用该库，拦截并修改与该库的数据交互。”

具体来说，代码中包含的恶意代码旨在通过systemd软件套件干扰 SSH（安全 Shell）的 sshd 守护进程，并可能使威胁参与者能够破坏 sshd 身份验证并在“以下情况下”远程获得对系统的未经授权的访问：正确的情况。”

“CVE-2024-3094 引入的恶意后门的最终目标是将代码注入到受害计算机上运行的 OpenSSH 服务器 (SSHD)，并允许特定的远程攻击者（拥有特定的私钥）发送任意代码JFrog说：“通过 SSH 发送有效负载，该负载将在身份验证步骤之前执行，从而有效地劫持整个受害计算机。 ”

微软安全研究员 Andres Freund 被认为在周五发现并报告了这个问题。据说，经过严重混淆的恶意代码是由一位名叫 Jia Tan (JiaT75) 的用户通过对 GitHub 上Tukaani 项目的一系列四次提交引入的。

“鉴于活动持续了数周，提交者要么直接参与其中，要么他们的系统受到了一些相当严重的损害，”弗罗因德说。 “不幸的是，考虑到他们在各种列表上就‘修复’进行了沟通，后者看起来不太可能是解释。”

微软旗下的 GitHub 此后禁用了 Tukaani 项目维护的 XZ Utils 存储库，“因为违反了 GitHub 的服务条款”。目前还没有关于在野外进行积极利用的报道。

有证据表明，这些软件包仅存在于 Fedora 41 和 Fedora Rawhide 中，并且不会影响Alpine Linux、Amazon Linux、 Debian Stable 、Gentoo Linux、Linux Mint、 Red Hat Enterprise Linux (RHEL) 、 SUSE Linux Enterprise 和 Leap 等发行版，和乌班图。

出于谨慎考虑，建议 Fedora Linux 40 用户降级到 5.4 版本。受供应链攻击影响的其他一些 Linux 发行版如下：

Arch Linux（安装介质 2024.03.01、虚拟机映像 20240301.218094 和 20240315.221711，以及在 2024 年 2 月 24 日和 2024 年 3 月 28 日（含）期间创建的容器映像）
Kali Linux（3 月 26 日至 29 日期间）
openSUSE Tumbleweed 和 openSUSE MicroOS（3 月 7 日至 28 日期间）
Debian 测试、不稳定和实验版本（从 5.5.1alpha-0.1 到 5.6.1-1）

有关影响 util-linux 软件包的“wall”命令的漏洞的详细信息已经出现，不良行为者可能会利用该漏洞泄露用户密码或更改某些 Linux 发行版上的剪贴板。

该漏洞编号为 CVE-2024-28085，安全研究员 Skyler Ferrante将其代号为WallEscape 。它被描述为转义序列不正确中和的情况。

“util-linux wall 命令不会从命令行参数中过滤转义序列，”费兰特说。 “如果 mesg 设置为“y”并且 wall 设置为 setgid，则允许非特权用户在其他用户的终端上放置任意文本。”

该漏洞是作为 2013 年 8 月提交的一部分引入的。

“wall”命令用于向当前登录服务器的所有用户的终端写入消息，实质上允许具有提升权限的用户向所有本地用户广播关键信息（例如，系统关闭）。

Linux 命令的手册页上写道：“wall 在所有当前登录用户的终端上显示消息、文件内容或标准输入。” “只有超级用户才能在选择拒绝消息或正在使用自动拒绝消息的程序的用户的终端上进行写入。”

CVE-2024-28085 本质上是利用通过命令行参数提供的未正确过滤的转义序列来诱骗用户在其他用户的终端上创建虚假的sudo（又名超级用户 do）提示符并诱骗他们输入密码。

然而，要实现此功能，mesg 实用程序（控制显示其他用户消息的能力）必须设置为“y”（即启用），并且 wall 命令必须具有 setgid 权限。

CVE-2024-28085 会影响 Ubuntu 22.04 和 Debian Bookworm，因为满足这两个条件。另一方面，CentOS 不易受到攻击，因为 wall 命令没有 setgid。

“在 Ubuntu 22.04 上，我们有足够的控制权来默认泄露用户的密码，”费兰特说。 “对用户攻击的唯一迹象是，当用户正确输入密码时，会出现错误的密码提示，并且密码位于命令历史记录中。”

同样，在允许发送墙消息的系统上，攻击者可能会通过 Windows 终端等选定终端上的转义序列来更改用户的剪贴板。它不适用于 GNOME 终端。

建议用户更新到 util-linux 版本 2.40 以缓解该缺陷。