微軟今天，微軟發布了關於XZ Utils 後門漏洞（CVE-2024-3094）的指導和公告。此安全漏洞是一個重大漏洞，CVSS（通用漏洞計分系統）得分為10.0，影響了多個Linux 發行版，即Fedora、Kali Linux、OpenSUSE 和Alpine，可能會對全球造成巨大影響。

幸運的是，微軟Linux 開發人員Andres Freund 意外地及時發現了這一漏洞，他對SSH（安全外殼）端口連接為何會出現500 毫秒延遲感到好奇，結果發現了一個嵌入在XZ 文件壓縮器中的惡意後門。

到目前為止，在撰寫本文時，VirtusTotal 只列出了63家安全廠商中的4 家，其中包括微軟，它們都正確地偵測到了漏洞的危害性。

因此，在這事件中，微軟工程師的鷹眼本領值得稱讚，因為很多人可能根本不會費心去研究它。這事件也凸顯了開源軟體是如何被有害行為者利用的。

XZ Utils 的5.6.0 和5.6.1 版本已被後門破壞，美國網路安全和基礎設施安全局（CISA）的官方建議是使用舊的安全版本。

根據建議指南，要驗證系統中是否有漏洞軟體，使用者可以在SSH 中以管理員權限執行以下命令：

xz--version

系統管理員也可使用第三方掃描和偵測工具。安全研究公司Qualys 和Binarly 發布了偵測和掃描工具，用於偵測系統是否受到影響。

Qualys 發布了VULNSIGS 2.6.15-6 版本，並在QID（Qualys 漏洞檢測ID）”379548″下標記了漏洞。

同時，Binarly 也發布了一款免費的XZ 後門掃描工具，一旦偵測到XZ Utils 被入侵，該工具就會發出”XZ 惡意植入”的偵測訊息。

您可以在Binarly和Qualys的網站上找到與該漏洞相關的更多技術細節。