微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答

微软发布了有关在 XZ Utils 中发现的关键漏洞的详细常见问题解答和指导。该漏洞的标识符为 CVE-2024-3094，严重等级为危急，发现原因是软件供应链遭到破坏。XZ Utils 工具主要用于各种 Linux 发行版的数据压缩，对于管理软件包、内核映像等非常重要。

微软的回应包括针对受该漏洞影响的用户的关键建议。该公司建议将 XZ Utils 降级到安全版本，并使用 Microsoft Defender Vulnerability Management 和 Defender for Cloud。

该漏洞是微软员工安德烈斯-弗罗因德（Andres Freund）在尝试调查 Debian 系统上 SSH 的性能问题时 "意外" 发现的。Freund 注意到与 XZ Utils 更新相关的异常行为，从而发现了 XZ Utils 5.6.0 和 5.6.1 版本中故意植入的后门。

该后门允许拥有正确私钥的攻击者利用 SSH 操作，从而获得系统的 root 访问权限。该后门通过五级加载器操作函数解析过程，使攻击者能够远程执行任意命令。

以下是受该漏洞影响的 Linux 发行版：

值得注意的是，红帽企业 Linux（RHEL）版本不受影响。最流行的 Linux 发行版之一 Ubuntu 也未受影响，因为它使用的是旧版本的 5.4 XZ Utils。

除上述情况外，要检查你的 Linux 系统是否受该漏洞影响，请点击以下链接：

1. 在终端中运行 xz --version 命令，检查系统中安装的 XZ Utils 版本。如果输出显示版本等于 5.6.0 或 5.6.1，则系统可能存在漏洞。
2. 如果你的系统运行的是易受攻击的 XZ Utils 版本，就必须立即采取措施更新系统，尤其是在使用基于 .deb 或 .rpm 且带有 glibc 的发行版的情况下。优先更新在可公开访问的 SSH 端口上使用 systemd 的系统，以降低直接风险。
3. 如果怀疑自己的系统可能已被入侵，还可以查看审计日志，查找任何可能表明存在未经授权访问或异常活动的异常情况。

要了解微软的建议和详细的常见问题，请访问此处的微软技术社区页面。

https://techcommunity.microsoft.com/t5/microsoft-defender-vulnerability/microsoft-faq-and-guidance-for-xz-utils-backdoor/ba-p/4101961