3月29日,有消息稱在xz-utils軟件包5.6.0到5.6.1版本中,存在被供應鏈攻擊并植入后門風險。xz作為一種通用的數據壓縮格式,幾乎存在于所有開源和商業(yè)發(fā)行版的Linux操作系統(tǒng)版本。
xz-utils軟件包如何威脅linux生態(tài)安全?
從5.6.0版本開始,在xz的上游tarball包中發(fā)現了惡意代碼。通過一系列復雜的混淆手段,liblzma的構建過程從偽裝成測試文件的源代碼中提取出預構建的目標文件,然后用它來修改liblzma代碼中的特定函數。這導致生成了一個被修改過的liblzma庫,任何鏈接此庫的軟件都可能使用它,從而攔截并修改與此庫的數據交互。由于庫的使用如此廣泛,因此該漏洞的嚴重性對整個Linux生態(tài)系統(tǒng)構成了威脅。
國產操作系統(tǒng)企業(yè)麒麟軟件表示,經過第一時間分析排查和驗證,銀河麒麟桌面操作系統(tǒng)和銀河麒麟高級服務器操作系統(tǒng)均不受影響。
