跳转至

CVE-2024-3094:全部清除


插图由 Justin W. Flory 创建,以 CC BY-SA 4.0 授权使用。

官方消息——CVE-2024-3094 就是 "差点发生的 XZ Utils 后门"。幸运的是,在我们将受攻击的版本作为官方更新发布之前,该恶意软件就被检测到了。如果您使用的是 Fedora Linux 38 或 39,或者是最新的 Fedora Linux 40 Beta,那么您应该已经准备就绪,即将发布的 Fedora Linux 40 正式版本不会受到影响。

XZ 后门是一个狡猾的作品。它影响 SSH 远程登录协议,该协议具有可以使用公钥-私钥对对用户进行身份验证的功能。该漏洞将一个公钥偷偷放入了允许列表中,因此拥有相应公钥的人可以登录到一台被入侵的机器上,并拥有完全的 root 访问权限,而且不会留下任何痕迹。我们没有证据表明攻击者有机会利用这个漏洞,但如果恶意软件没有被发现,它可能会造成毁灭性的后果

幸运的是,Andres Freund 在业余时间做志愿者工作时挫败了这一阴谋。他注意到了性能上的细微变化,于是决定进行调查。我的一位 Fedora 朋友引用了 John Denver 的一句话:“一个人能做的就是改变世界,让世界重新运转!在这里,你看到了一个人的能力。”

如果您的系统中安装了 Fedora Linux 40 Beta 或 Fedora Rawhide,并且您在受威胁软件包出现在我们的更新测试库期间应用了更新,您应该检查以确保 xz 现在已被还原,如果没有,则应用当前的更新。(截至本文,您应该使用的是 xz-5.4.6)在 Fedora Workstation 系统上,ssh 守护进程默认不运行,这进一步限制了可能的风险。但是,如果您的系统上确实有错误的更新,或者您认为可能有,出于谨慎考虑,我们建议您完全重新安装。

Fedora Linux 38 和 39 甚至从未有过受影响软件包的候选更新,我们也撤下了 40 的测试更新,因此它从未被合并到发布版本中。