放心使用！龙蜥全系产品均不受 XZ 后门影响

近日，红帽(Red Hat)和美国网络安全和基础设施安全局(CISA)联合发布警告，称流行的 Linux 压缩工具 XZ Utils 存在影响广泛的高危漏洞 CVE-2024-3094（CVSS评分 10 分），被其维护者（Jian Tan）植入恶意后门，黑客可以利用此后门远程入侵并控制整个系统。龙蜥社区安全委员会联合阿里云安全应急响应团队第一时间进行分析排查，证实龙蜥全系产品（Anolis OS 7、8、23）及 Alibaba Cloud Linux（Alinux 2、3）均不受 XZ 后门影响，可放心使用。龙蜥社区第一时间更新龙蜥漏洞库，发布了​​漏洞公告​​。

01 漏洞背景影响

微软工程师安德烈斯·弗伦德(Andres Freund)上周在调查一台运行 Debian Sid （Debian 发行版的滚动开发版本）的 Linux 设备 SSH 登录速度过慢问题时发现了该安全漏洞（后门），并报告至 openwall​（​​​https://www.openwall.com/lists/oss-security/2024/03/29/4​​​​​​​​），红帽为之分配了漏洞编码 CVE-2024-3094（​​​https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094​​​）。

调查显示，从 5.6.0 版本开始，XZ 的上游代码库和 tarball 下载包中被植入恶意代码。liblzma（XZ 包的一部分）构建过程会从伪装成测试文件的混淆二进制恶意文件中提取预构建的对象文件，用于修改 liblzma 代码中的特定函数，生成一个被篡改的 liblzma 库，该库可以被任何链接到此库的软件使用，从而截取并修改与该库的数据交互。

经证实，该漏洞后门存在于 XZ Utils 最新发布的 5.6.0 和 5.6.1 版本中。利用该后门，远程攻击者能够通过 SSH 发送任意代码，造成远端任意代码执行，从而入侵并控制整个系统。

02 漏洞缓解方案

安全专家建议，XZ5.6.0 和 5.6.1 版本的用户应该立即降级或停用该工具。

龙蜥社区发行的 XZ 为稳定版本 5.2.2、5.2.4 及 5.4.4，均不受该漏洞（后门）影响，无需采取任何行动，可放心使用。

03 龙蜥应急响应

• 2024.3.28 阿里云安全应急响应团队第一时间感知到 XZ 后门漏洞，立即联合龙蜥安全团队对漏洞情报进行分析，迅速排查龙蜥全系产品，及下游 Alibaba Cloud Linux 产品（简称 Alinux） ，确认 Anolis OS 及 Alinux 全系产品中 XZ 组件均未升级至受影响的 5.6.0 及 5.6.1 版本，均不受该漏洞影响。
• 2024.3.29 龙蜥社区安全中心更新漏洞库，发布 CVE-2024-3094 漏洞公告。

04 龙蜥漏洞管理

龙蜥社区已经建立起从漏洞感知、评估，到漏洞修复、披露的全生命周期闭环的安全漏洞管理流程体系。社区针对最新安全威胁进行及时的跟踪与风险评估，制定完备的漏洞修复策略。并依据威胁等级发布安全更新，帮助龙蜥用户及时修复安全漏洞，全面提升系统安全。

龙蜥社区漏洞全生命周期管理流程如下：

龙蜥社区非常重视龙蜥产品安全性，组建了龙蜥社区安全委员会，制定了完善的安全应急响应流程，为龙蜥产品的安全保驾护航，让龙蜥产品安全无忧，让龙蜥用户安心放心。

龙蜥社区也已成为 ​​CVE.org​​​ 组织的​​ CNA 单位​​，具备 CVE 编号分配资质。截至目前，龙蜥社区已成功申报了十多个 Linux 内核相关的安全漏洞。

同时，龙蜥社区也通过组建​​「龙蜥社区安全联盟」​​，与国内外知名的设备、平台、安全厂商及高校科研单位一起，共建龙蜥社区安全生态 （如需加入「​​龙蜥社区安全联盟​​」，可与我们联系：secretary@openanolis.org）。也欢迎感兴趣的企业和个人加入“​​龙蜥社区系统安全 SIG 交流群​​”（钉钉群号：74890001865），进一步合作探讨。