根据 Red Hat 的说法,XZ Utils 的两个最新版本中已植入后门,这是一套数据压缩软件工具和库,“几乎每个 Linux 发行版中都存在”。
红帽和美国网络安全和基础设施安全局 (CISA) 周五警告称,XZ Utils 软件的供应链受到损害,影响了 Linux 发行版。
红帽在一份声明中表示,XZ Utils 是一套广泛使用的数据压缩软件工具和库,其两个最新版本“包含似乎旨在允许未经授权的访问的恶意代码”。 咨询。
[Related: ‘First’ Cyberattack Of Its Kind: 3CX Compromise Blamed On Earlier Supply Chain Breach]
据 IBM 旗下的 Red Hat 称,植入的代码存在于 XZ Utils 库的 5.6.0 和 5.6.1 版本中。
红帽表示,XZ Utils“几乎存在于每个 Linux 发行版中”。
Red Hat 表示,Fedora Linux 40 的用户“可能已经收到了 5.6.0 版本,具体取决于系统更新的时间”,而 Fedora Rawhide 用户“可能已经收到了 5.6.0 或 5.6.1 版本”。
红帽在帖子中表示:“请立即停止将任何 Fedora RAWHIDE 实例用于工作或个人活动。” “Fedora Rawhide 很快就会恢复到 xz-5.4.x,一旦完成,Fedora Rawhide 实例就可以安全地重新部署。”
“在适当的情况下,这种干扰可能会使恶意行为者破坏 [Secure Shell Daemon] 身份验证并获得对整个系统的远程未经授权的访问,”红帽写道。
该公司表示:“没有任何版本的红帽企业 Linux (RHEL) 受到影响。”
在其 咨询CISA 指出,XZ Utils“可能存在于 Linux 发行版中”,并且“恶意代码可能允许对受影响的系统进行未经授权的访问”。
该机构表示:“CISA 建议开发人员和用户将 XZ Utils 降级到未受影响的版本,例如 XZ Utils 5.4.6 Stable,以查找任何恶意活动并向 CISA 报告任何积极的发现。”
通过明显的供应链黑客攻击插入的漏洞正在 CVE-2024-3094 中进行跟踪。
供应链妥协包括迄今为止最广泛感受到的一些网络攻击,包括 2020 年的 SolarWinds 供应链攻击和 2021 年的 Kaseya VSA 攻击。最近,通信软件制造商 3CX 遭受 2023 年 3 月供应链妥协。
1711739895
2024-03-29 18:56:00
#CISA #和红帽就影响 #Linux #发行版的供应链妥协发出警告
