针对 Fedora Linux 40 和 Fedora Rawhide 用户的紧急安全警报

红帽企业 Linux（RHEL）的任何版本都不受此 CVE 影响。

更新于 2024 年 3 月 30 日：经过我们的确认，Fedora Linux 40 Beta 版本确实包含两个受影响的 xz 库版本，分别为 xz-libs-5.6.0-1.fc40.x86_64.rpm 和 xz-libs-5.6.0-2.fc40.x86_64.rpm。目前，Fedora 40 Linux 似乎并未受到此次实际恶意软件攻击的影响，但我们建议所有 Fedora 40 Linux Beta 版本用户恢复到 5.4.x 版本。

编者按：本文已经过更新，更清楚地说明了受影响的 Fedora Linux 版本，并添加了其他缓解方法。

昨天，红帽信息风险与安全团队和红帽产品安全团队获悉，最新版本的“xz”工具和库包含恶意代码，似乎能够允许未经授权的访问。具体而言，此恶意代码存在于 5.6.0 和 5.6.1 版本的库中。Fedora Linux 40 用户可能已收到 5.6.0 版本，具体取决于系统更新的时间。Fedora Rawhide 用户可能已经收到了 5.6.0 或 5.6.1 版本。 此漏洞已分配为 CVE-2024-3094。

请立即停止将任何 Fedora Rawhide 实例用于工作或个人活动。Fedora Rawhide 很快就会恢复到 xz-5.4.x，恢复后就可以安全地重新部署 Fedora Rawhide 实例。请注意，Fedora Rawhide 是 Fedora Linux 的开发发行版，用作未来 Fedora Linux 版本（本例中为尚未发布的 Fedora Linux 41）的基础。

目前，Fedora Linux 40 版本尚未显示受到影响。 我们认为此次恶意代码注入没有在这些版本中生效。但是，为安全起见，Fedora Linux 40 用户仍应降级到 5.4 版本。最近发布了一个更新，可将 xz 恢复为 5.4.x，Fedora Linux 40 用户可以通过常规的系统更新来获取该更新。相关用户可以按照此网页上的说明强制执行更新：https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266。

更新于 2024 年 3 月 30 日：经过我们的确认，Fedora Linux 40 Beta 版本确实包含两个受影响的 xz 库版本，分别为 xz-libs-5.6.0-1.fc40.x86_64.rpm 和 xz-libs-5.6.0-2.fc40.x86_64.rpm。目前，Fedora 40 Linux 似乎并未受到此次实际恶意软件攻击的影响，但我们建议所有 Fedora 40 Linux Beta 版本用户恢复到 5.4.x 版本。

什么是 xz？

xz 是一种通用数据压缩格式，几乎每个 Linux 发行版（包括社区项目和商业产品发行版）中都有。从本质上而言，它通过压缩和解压缩，有助于将大文件格式转化为更小、更易于管理的文件格式，以便通过文件传输进行共享。

此次的恶意代码是什么？

xz 版本 5.6.0 和 5.6.1 库中存在的恶意代码注入已被模糊处理，仅完整包含在下载软件包中，而 Git 发行版中不包含触发此恶意代码的 M4 宏。用于第二阶段的恶意工件存在于 Git 存储库中，如果存在恶意 M4 宏，就会在构建过程中注入恶意代码。

生成的恶意代码版本会通过 systemd 干扰 sshd 中的身份验证。SSH 是远程连接系统的常用协议，sshd 则是允许访问的服务。在特定情况下，这种干扰可能会使不法分子能够破坏 sshd 身份验证，并在未经授权的情况下远程访问整个系统。

哪些发行版受到了此恶意代码的影响？

目前的调查表明，在红帽社区生态系统中，这些恶意代码软件包仅存在于 Fedora 40 和 Fedora Rawhide 中。

有报告和证据表明，在为 Debian unstable（Sid）构建的 xz 5.6.x 版本中成功注入了恶意代码。其他发行版也可能受到了影响。其他发行版的用户应咨询相应的发行商以获取指导。

如果我运行的是受影响的发行版，应该怎么办？

无论是用于个人还是业务活动，请立即停止使用 Fedora 40 或 Fedora Rawhide，直到您能够将 xz 降级到先前的版本。如果您是在业务环境中使用受影响的发行版，建议联系您的信息安全团队以了解后续步骤。

此外，对于运行 openSUSE 发行版的用户，SUSE 已在 https://build.opensuse.org/request/show/1163302 上发布了降级程序。