心计情绪乌客暗躲两年背面XZ增减后门 多个Linux收止版中招影响处事器牢靠 – 蓝面网

今日诰日 Linux 社区最闭注的心计工做即是 xz-utils (以前被称为 LZMA Utils) 名目被植进后门的工做，xz 是情绪器牢被 Linux 收止版普遍操做的缩短格式之一，xz-utils 是乌客一个开源名目，2022 年起有个名为 Jia Tan 的暗躲账号匹里劈头背该名目贡献代码，而后逐渐接足该名目成为名目的两年尾要贡献者。

日前该名目被收现存正在后门，背面那些恶意代码旨正在许诺已经担当权的增减止版中招拜候，详细去讲影响 xz-utils 5.6.0 战 5.6.1 版中，后门而且那些受影响的影响版本已经被多个 Linux 收止版回并。

简朴去讲那是处事一起提供链投毒使命，报复侵略者经由历程卑劣开源名目投毒，靠蓝事实下场随有名目散成影响 Linux 收止版，面网收罗 Fedora Linux 40/41 等操做系统已经确认受该问题下场影响。心计

恶意代码的情绪器牢目的：

RedHat 经由阐收后感应，这次乌客增减的乌客恶意代码会经由历程 systemd 干扰 sshd 的身份验证，SSH 是短途毗散漫统的常睹战讲，而 sshd 是许诺拜候的处事。

正在安妥的情景下，那类干扰可能会让乌客破损 sshd 的身份验证并患上到部份系统的短途已经担当权的拜候 (无需 SSH 稀码或者稀钥)。

RedHat 确认 Fedora Linux 40/4一、Fedora Rawhide 受该问题下场影响，RHEL 不受影响，其余 Linux 收止版理当也受影响，详细用户可能正在斥天商网站患上到疑息。

建议坐刻停止操做受影响版本：

假如您操做的 Linux 收止版受上述后门法式影响，RedHat 的建议是不管个人借是商用目的，皆理当坐刻停止操做。

之后请查问 Linux 收止版的斥天商患上到牢靠建议，收罗检查战删除了后门法式、回滚或者更新 xz-utils 等。

伶丁的开源贡献者问题下场：

正在那边借需供分中谈判一个开源名目的问题下场，xz-utils 尽管被齐球的 Linux 收止版、缩短硬件普遍操做，但正在以前惟独一位去世动的贡献者正在呵护那个名目。

那个伶丁的贡献者可能由于细神不够或者其余原因，正在碰着一位新的贡献者时，随着时候的推移，正在患上到疑任后，那名新贡献者逐渐患上到了名目的更多克制权。

真践上那名乌客理当也是详尽筛选的名目，知讲那类情景下可能更随意患上到克制权，果此从 2022 年匹里劈头便贡献代码，直到成为尾要贡献者后，再施止自己的后门动做。

将去那类针对于开源名目的提供链报复侵略理当借会赫然删减，那对于部份开源社区去讲理当皆是头痛的问题下场。