開源現(xiàn)惡意代碼，國產(chǎn)系統(tǒng)未受影響

3月29日，有消息稱在xz-utils軟件包5.6.0到5.6.1版本中，存在被供應(yīng)鏈攻擊并植入后門風(fēng)險(xiǎn)。xz作為一種通用的數(shù)據(jù)壓縮格式，幾乎存在于所有開源和商業(yè)發(fā)行版的Linux操作系統(tǒng)版本。

xz-utils軟件包如何威脅linux生態(tài)安全？

從5.6.0版本開始，在xz的上游tarball包中發(fā)現(xiàn)了惡意代碼。通過一系列復(fù)雜的混淆手段，liblzma的構(gòu)建過程從偽裝成測(cè)試文件的源代碼中提取出預(yù)構(gòu)建的目標(biāo)文件，然后用它來修改liblzma代碼中的特定函數(shù)。這導(dǎo)致生成了一個(gè)被修改過的liblzma庫，任何鏈接此庫的軟件都可能使用它，從而攔截并修改與此庫的數(shù)據(jù)交互。由于庫的使用如此廣泛，因此該漏洞的嚴(yán)重性對(duì)整個(gè)Linux生態(tài)系統(tǒng)構(gòu)成了威脅。

國產(chǎn)操作系統(tǒng)企業(yè)麒麟軟件表示，經(jīng)過第一時(shí)間分析排查和驗(yàn)證，銀河麒麟桌面操作系統(tǒng)和銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)均不受影響。