3月29日,有消息稱在xz-utils軟件包5.6.0到5.6.1版本中,存在被供應鏈攻擊并植入后門風險。xz作為一種通用的數據壓縮格式,幾乎存在于所有開源和商業發行版的Linux操作系統版本。
麒麟軟件第一時間進行分析排查,經驗證,銀河麒麟桌面操作系統和銀河麒麟高級服務器操作系統均不受影響。
背景介紹
xz-utils軟件包如何威脅linux生態安全?
從5.6.0版本開始,在xz的上游tarball包中發現了惡意代碼。通過一系列復雜的混淆手段,liblzma的構建過程從偽裝成測試文件的源代碼中提取出預構建的目標文件,然后用它來修改liblzma代碼中的特定函數。這導致生成了一個被修改過的liblzma庫,任何鏈接此庫的軟件都可能使用它,從而攔截并修改與此庫的數據交互。由于庫的使用如此廣泛,因此該漏洞的嚴重性對整個Linux生態系統構成了威脅。
通訊員 | 張超
來 源 | 安全研發部
審 核 | 市場與政府事務部
