上周,网络安全界真的很幸运。开源压缩实用程序 XZ Utils 中故意放置的后门几乎是被一名微软工程师意外发现的——几周前,它本来会被整合到 Debian 和 Red Hat Linux 中。来自 ArsTehnica:添加到 XZ Utils 版本 5.6.0 和 5.6.1 的恶意代码修改了软件的运行方式。后门操纵了 sshd,即用于建立远程 SSH 连接的可执行文件。任何拥有预定加密密钥的人都可以将他们选择的任何代码存储在 SSH 登录证书中,上传并在后门设备上执行。没有人真正看到上传的代码,因此不知道攻击者计划运行什么代码。理论上,该代码可以允许几乎任何事情,包括窃取加密密钥或安装恶意
Nasty regreSSHion bug in OpenSSH puts roughly 700K Linux boxes at risk
对于那些有足够耐心的人来说,完全接管系统是有可能的。基于 Glibc 的 Linux 系统容易受到 OpenSSH 服务器 (sshd) 中新错误 (CVE-2024-6387) 的攻击,应升级到最新版本。
