XZ-Utils被披露出被投毒植入恶意后门，漏洞编号CVE-2024-3094。可导致受害者机器被远程控制执行恶意操作等危害。

漏洞详情

XZ 是类 Unix 操作系统上的一种无损数据压缩格式，类似于 gzip 和 bzip2 等其他常见数据压缩格式。 XZ-Utils 是一个命令行工具，包含 XZ 文件和 liblzma 的压缩和解压缩功能，liblzma是XZ-Utils依赖的一个压缩库，提供了类似于zlib的编程接口，用于实现LZMA算法，允许开发者在他们的应用程序中集成LZMA压缩和解压缩功能。

从 5.6.0 版本开始，XZ 的上游 tarball 中发现被投毒植入了恶意代码。 恶意代码修改了XZ Utils包中liblzma库的函数，可能导致任何链接到XZ库的软件能够拦截和修改数据。在特定条件下，该后门可能允许恶意行为者破坏sshd认证，从而获得对受影响系统的访问权限。

影响版本

XZ-Utils >= 5.6.0（5.6.0，5.6.1）

安全版本

XZ-Utils < 5.6.0

修复建议

排查XZ-Utils的版本，对XZ-Utils进行降级处理，降级到5.6.0 以下版本，可使用以下命令检查xz的版本：xz -V或xz --version