来源 :麒麟信安KYLINSEC2024-04-02
近日,XZ Utils 5.6.0和5.6.1版本存在严重后门风险的消息披露后,麒麟信安立即展开全面排查,经分析验证,麒麟信安操作系统各版本均不受liblzma/xz漏洞影响。
关于liblzma/xz漏洞
漏洞描述
xz 5.6.0 与 5.6.1 版本的上游代码中发现了后门程序,它通过加入测试用的二进制数据,然后再在编译脚本中从上述数据里提取内容修改编译结果。就目前初步研究显示,生成的代码会挂钩 OpenSSH 的 RSA 加密相关函数,使得攻击者可以通过特定方式绕过 RSA 签名验证过程,其它可能的影响仍在持续研究中。
作为一款流行的压缩软件,liblzma/xz 被各 Linux 发行版广泛使用,因此此安全漏洞的影响面较广。
漏洞危害等级:高危
漏洞影响范围:5.6.0 =xz-utils =5.6.1
麒麟信安操作系统具备突出的安全性能,已连续七次通过公安部信息安全产品检测中心结构化保护等级(四级)安全认证,这是国内自主创新操作系统所达到的最高安全等级。目前,麒麟信安操作系统已全面应用于政务、能源、金融等重点行业信息化建设项目,产品运行稳定,为数字化基础设施建设提供坚实底座。