Debian: cve - 2024 - 3094: xz-utils—嵌入式恶意代码

Debian: cve - 2024 - 3094: xz-utils—嵌入式恶意代码

Severity

10

CVSS

(AV: N /交流:L /非盟:N / C: C / I: C / A: C)

Published

03/29/2024

Created

04/02/2024

Added

04/01/2024

Modified

04/02/2024

Description

从版本5开始，在xz的上游tarball中发现了恶意代码.6.0. 通过一系列复杂的混淆, liblzma构建过程从源代码中存在的伪装测试文件中提取预构建的对象文件, 然后用它来修改liblzma代码中的特定函数. 这将产生一个修改后的liblzma库，它可以被链接到该库的任何软件使用, 拦截和修改与此库的数据交互.

Solution(s)

• debian-upgrade-xz-utils

References

• DSA-5649-1
• cve - 2024 - 3094
• http://security-tracker.debian.org/tracker/CVE-2024-3094
• http://www.openwall.com/lists/oss-security/2024/03/29/4
• http://f0ic42.dektinary.com/blog/post/2024/04/01/etr-backdoored-xz-utils-cve-2024-3094/