xz 软件包被植入后门

2024 年 3 月 30 日

简单讲:立即升级系统和容器镜像!

大家可能已经听说了 [1]xz 上游发布的 5.6.05.6.1 版本的代码包(tarball)中含有添加后门的恶意代码。

Arch Linux Security Tracker 记录了该漏洞 [2]

xz 软件包旧于 5.6.1-2 的版本(即 5.6.0-15.6.1-1)包含该后门。

以下发布内容(release artifacts)也包含了受影响的 xz 版本:

  • 安装镜像:2024.03.01
  • 虚拟机镜像:20240301.21809420240315.221711
  • 容器镜像:任何 2024-02-24 到 2024-03-28 之间(包括这两个日期)构建的版本

受影响的发布内容已经从我们的镜像站上移除。

强烈建议不要使用受影响这些受影响的发布内容。请下载当前的最新版本!

升级系统

如果你的系统当前安装了 xz 5.6.0-15.6.1-1,强烈建议你立即进行完整系统升级:

pacman -Syu

升级容器镜像

要确定否正在使用受影响的容器镜像,使用以下命令(podman 用户):

podman image history archlinux/archlinux

或者(docker 用户):

docker image history archlinux/archlinux

所有旧于 2024-03-29 且新于 2024-02-24 的 Arch Linux 容器镜像都受到了影响。

使用以下命令升级受影响的容器镜像到最新版本(podman 用户):

podman image pull archlinux/archlinux

或者(docker 用户):

docker image pull archlinux/archlinux

升级之后,请确保重新构建基于受影响版本的任何容器镜像,并检查所有运行中的容器!

sshd 认证绕过 / 代码执行问题

根据上游报告 [1]

openssh 不直接使用 liblzma。但 debian 和其他几个发行版对 openssh 打了补丁,引入了 systemd 通知支持,而 libsystemd 确实依赖于 lzma。

Arch 并不直接将 openssh 链接到 liblzma,因此这种攻击途径是不可能的。可以通过以下命令来确认这一点:

ldd "$(command -v sshd)"

但是,出于谨慎,我们建议用户通过升级系统/容器镜像移除恶意代码 —— 因为可能有其他还没有被发现的后门利用方法。

公告, 新闻, 默认



© 2012-2024 Arch Linux Chinese Community | Arch Linux 中文社区
GNU FDL 1.3
Original designed by Archlinux.org · XHTML · CSS · RSS
Proudly powered by WordPress | Server by RivenCloud
The Arch Linux name and logo are recognized trademarks by Judd Vinet & Aaron Griffin. Some rights reserved.