因懒而躲过了xz极高危后门

2024年安全界极危级别漏洞,莫如xz被投毒的后门CVE-2024-3094,投毒之耐心,细节之隐蔽,看完漏洞内情之后,有点儿庆幸自己之前因为懒而没有随时更新操作系统,躲过了这一次极危后门事件。

不过也不用太担心,这个后门也不是所有知道的人都能利用。这个后门没有饶过登陆验证,而只允许特定的密钥免密登陆Linux服务器,并调用system()执行负载命令。而且当前在世界上还没有搜索到这个密钥公开,所有知道后门的人还不能利用这个后门做坏事。

确认自己的linux服务器有没有包含此漏洞,命令很简单,运行以下,只要版本不在5.6.0和5.6.1,就没事。

$ xz --version
xz (XZ Utils) 5.2.5
liblzma 5.2.5

如我的服务器,就没事,只因为懒。

参考资料

  1. openwall mail list
  2. CVE-2024-3094

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

Scroll to Top