3月29日,有消息稱在xz-utils軟件包5.6.0到5.6.1版本中,存在被供應(yīng)鏈攻擊并植入后門風(fēng)險(xiǎn)。xz作為一種通用的數(shù)據(jù)壓縮格式,幾乎存在于所有開源和商業(yè)發(fā)行版的Linux操作系統(tǒng)版本。
xz-utils軟件包如何威脅linux生態(tài)安全?
從5.6.0版本開始,在xz的上游tarball包中發(fā)現(xiàn)了惡意代碼。通過一系列復(fù)雜的混淆手段,liblzma的構(gòu)建過程從偽裝成測(cè)試文件的源代碼中提取出預(yù)構(gòu)建的目標(biāo)文件,然后用它來修改liblzma代碼中的特定函數(shù)。這導(dǎo)致生成了一個(gè)被修改過的liblzma庫,任何鏈接此庫的軟件都可能使用它,從而攔截并修改與此庫的數(shù)據(jù)交互。由于庫的使用如此廣泛,因此該漏洞的嚴(yán)重性對(duì)整個(gè)Linux生態(tài)系統(tǒng)構(gòu)成了威脅。
國產(chǎn)操作系統(tǒng)企業(yè)麒麟軟件表示,經(jīng)過第一時(shí)間分析排查和驗(yàn)證,銀河麒麟桌面操作系統(tǒng)和銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)均不受影響。