openSUSE 解决针对 xz 压缩库的供应链攻击
2024 年 3 月 29 日 | Marcus Meissner | CC-BY-SA-3.0
openSUSE 维护者收到了关于 “xz” 压缩工具和 “liblzma5” 库的供应链攻击通知。
背景
Andres Freund 向 Debian 报告了 xz / liblzma 库已被植入后门。
这个后门是在 2024 年 2 月的 upstream github xz 项目的 5.6.0 版本中引入的。
我们的滚动发布版 openSUSE Tumbleweed 和 openSUSE MicroOS 在 3 月 7 日至 3 月 28 日期间包含了此版本。
SUSE Linux Enterprise 和 openSUSE Leap 与 openSUSE Tumbleweed 隔离构建。Tumbleweed 的代码、功能和特性不会自动引入到 SUSE Linux Enterprise 和/或 openSUSE Leap 中。已经确认引入到 Tumbleweed 的恶意文件不存在于 SUSE Linux Enterprise 和/或 openSUSE Leap 中。
影响
当前的研究表明,该后门在 SSH 守护程序中处于活动状态,允许恶意行为者访问暴露在互联网上的系统。
截至 3 月 29 日,对后门的逆向工程仍在进行中。
缓解措施
openSUSE 维护者已于 3 月 28 日回滚了 Tumbleweed 上的 xz 版本,并发布了一个新的 Tumbleweed 快照(20240328 或更高版本),该快照是从安全的备份构建的。
回滚的版本版本号为 5.6.1.revertto5.4,可以使用 rpm -q liblzma5 进行查询。
用户建议
对于 SSH 暴露在互联网上的 openSUSE Tumbleweed 用户,我们建议重新安装,因为尚不清楚后门是否已被利用。
由于后门的复杂性,在系统上检测到入侵的可能性很小。
此外,强烈建议轮换可能从系统获取的任何凭据。否则,只需更新到 openSUSE Tumbleweed 20240328 或更高版本并重新启动系统即可。