微軟研究員Andres Freund 偶然發現了可以破解sshd 驗證的惡意程式碼。如果沒有被發現，它可能會對Linux 構成嚴重威脅。開源社群對這一事件作出了反應，肯定了這一發現的偶然性，以及它是如何幸運地在對更廣泛的Linux 社群構成重大風險之前被及早發現的。

微軟的PostgreSQL開發人員安德烈斯-弗羅因德（Andres Freund）在進行一些例行的微基準測試時，注意到ssh 進程出現了600 毫秒的小延遲。

一波未平一波又起，Freund 最終偶然發現了一種供應鏈攻擊，其中涉及XZ 軟體包中被混淆的惡意程式碼。他將這項發現發佈在開源安全郵件清單上，開源社群從此開始關注這一事件。

開發社群迅速揭露了這項攻擊是如何被巧妙地註入XZ utils 的，XZ utils 是一個小型開源項目，至少自2009 年以來一直由一名無償開發人員維護。與違規提交相關的帳戶似乎玩起了長線遊戲，慢慢贏得了XZ 開發人員的信任，這讓人們猜測惡意程式碼的作者是一個老練的攻擊者，可能隸屬於某個國家機構。

該惡意程式碼的正式名稱為CVE-2024-3094，CVSS 評分為最高的10 分。紅帽公司報告說，惡意程式碼修改了liblzma 中的函數，這是一個資料壓縮庫，是XZ utils 軟體包的一部分，也是幾個主要Linux 發行版的基礎部分。

然後，任何與XZ 庫連結的軟體都可以使用這些修改過的程式碼，並允許截取和修改與該程式庫一起使用的資料。據Freund 稱，在某些條件下，這個後門可以讓惡意行為者破壞sshd 身份驗證，從而允許攻擊者存取受影響的系統。 Freund 也報告說，XZ utils 5.6.0 和5.6.1 版本也受到影響。

Red Hat 在Fedora 41 和Fedora Rawhide 中發現了有漏洞的軟體包，建議用戶停止使用，直到更新可用，但Red Hat Enterprise Linux (RHEL) 仍未受到影響。 SUSE 已發布openSUSE（Tumbleweed 或MicroOS）的更新。 Debian Linux 穩定版是安全的，但測試版、不穩定版和實驗版由於軟體包受損，需要xz-utils 更新。在3 月26 日至3 月29 日期間更新的Kali Linux 用戶需要再次更新以獲得修復，而在3 月26 日之前更新的用戶不受此漏洞影響。

不過，正如許多安全研究人員指出的那樣，情況仍在發展中，可能會發現更多漏洞。目前還不清楚其有效載荷是什麼。美國網路安全和基礎設施安全局建議人們降級到未被破壞的XZ utils 版本，即早於5.6.0 的版本。安全公司還建議開發人員和使用者進行事件回應測試，查看是否受到影響，如果受到影響，則向CISA 報告。

幸運的是，這些受影響的版本似乎並沒有被納入任何主要Linux 發行版的生產版本中，但安全公司Analygence 的高級漏洞分析師Will Dormann 告訴Ars Technica，這次發現可謂千鈞一髮。他說：”如果沒有被發現，這將為世界帶來災難。”