跨境派

跨境派

跨境派,专注跨境行业新闻资讯、跨境电商知识分享!

当前位置:首页 > 工具系统 > 运营工具 > CVE-2024-3094:Linux生态供应链攻击

CVE-2024-3094:Linux生态供应链攻击

时间:2024-04-21 07:30:40 来源:网络cs 作者:璐璐 栏目:运营工具 阅读:

标签: 供应  攻击  生态 

作者:皮卡丘

CVE-2024-3094:供应链攻击?        

一个潜伏3年只为通杀的漏洞,今天更新了一个CVE漏洞,XZ-utils5.6.0/5.6.1版本后门风险(CVE-2024-3094)这个后门并非作者无意加入的,也不是引入存在后门的库文件导致的问题,而是有人经过三年的潜伏,积极参与该项目的维护,在获得了直接commit代码的权限以后将后门代码注入其中。  

这个代码一共存活了不到2个月的时间,发现者是PostgreSQL 开发人员兼软件工程师 Andres Freund 意外发现的,在观察到 liblzma(xz 包的一部分)Debian sid(使用 ssh 登录占用了大量 CPU,valgrind 错误,然后找见了上游 xz 存储库和 xz tarball 已被后门。

幸运的是,xz 5.6.0 和 5.6.1 尚未被 Linux 发行版广泛集成,而且大部分是在预发行版本中。

但是kali linux如果每周更新或者最近3月26到29号之间更新了,不好意思。

根据kali官方说法希望更新,

def7c5c06a6e9764c8d96ae0c75eb0b9.png

首先我们apt-cache policy liblzma5       

  

f02a5c259c0c38f28b95966ef2061498.png

91ecb883c79fcc5dcd1b261fdd2ae2f6.png

95531b087b2e4edc6233197679b83db3.png

更新命令

sudo apt update && sudo apt install -y --only-upgrade liblzma5

更新

e824054b2041ccfcd8d168051f9c3887.png

难的追一回滚动更新就这样玩吗?看来以后也不要追最新的。

当然我们还可以cat /var/log/apt/history.log 查看更新时间和都更新了哪些内容!

  附:

2a9ccbe5d85895dd59a80a2c496f6879.png

各大linux系统可以查看自己对应的系统,查看官网说明

比如我的kali可以直接在https://www.kali.org/blog/about-the-xz-backdoor/看到

当然了这个供应链后门只能说差一点就完美成功,因为他写的有bug在sshd运行的时候直接cpu飙升,引起了研究员的注意,否则如果在发行版中大规模集成,估计可以造成linux的一个通杀,现在只是在预发行版中,但是更新快的比如kali linux中如果滚动更新那么就会被影响到。

参考链接:

https://www.kali.org/blog/about-the-xz-backdoor/

https://avd.aliyun.com/detail?id=AVD-2024-3094

https://github.com/advisories/GHSA-rxwq-x6h5-x525


—  实验室旗下直播培训课程  —

0051f919c2986ce369c3512a637a34e5.png

0979df4fabd6f97c1749d2a1a1e9eb2d.jpeg

99ea8d3e959ae2e539a544bd501031bb.jpeg2f94b5fe527f198d81111e03b6dda620.png

cf51dd0dd8c79ca1ab4237e2a3109754.png

03181380eac754b559a9e16b849f85d3.jpeg

202755e32cc9769c390c160aea2fee13.jpeg

97d9bd0168e6db5ed5e2ac87285b7b2b.jpeg

7d4dd21dd0c6257845a2dd1b7bf04db9.png

和20000+位同学加入MS08067一起学习

b00559411bb853a9a6e1881022fb3f38.gif

本文链接:https://www.kjpai.cn/news/2024-04-21/160827.html,文章来源:网络cs,作者:璐璐,版权归作者所有,如需转载请注明来源和作者,否则将追究法律责任!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。

文章评论