更新:据我们所知,通过 release tarball 分发的恶意代码从未进入 Arch Linux 提供的二进制文件,因为构建脚本被配置为仅在 Debian/Fedora 类包构建环境中注入不良代码。因此,下面的新闻可以基本忽略。
我们正在密切关注情况,并将根据需要更新软件包和新闻。
简而言之:立即升级您的系统和容器镜像!
正如你们许多人可能已经读到的(一篇),`xz` 版本 `5.6.0` 和 `5.6.1` 的上游 release tarball 包含恶意代码,增加了后门。
此漏洞已在 Arch Linux 安全跟踪器中记录(二)。
`xz` 版本 `5.6.1-2` 之前的软件包(特别是 `5.6.0-1` 和 `5.6.1-1`)包含此后门。
以下发布工件包含受感染的 `xz`
- 安装介质 `2024.03.01`
- 虚拟机镜像 `20240301.218094` 和 `20240315.221711`
- 创建于 *2024-02-24* 和 *2024-03-28* 之间(包含)的容器镜像
受影响的发布工件已从我们的镜像中移除。
我们强烈建议不要使用受影响的发布工件,而是下载目前可用的最新版本!
升级系统
如果您当前的系统安装了 `xz` 版本 `5.6.0-1` 或 `5.6.1-1`,强烈建议立即进行完整的系统升级
pacman -Syu
升级容器镜像
要确定您是否正在使用受影响的容器镜像,请使用以下任一命令:
podman image history archlinux/archlinux
或
docker image history archlinux/archlinux
具体取决于您使用的是 `podman` 还是 `docker`。
任何早于 `2024-03-29` 且晚于 `2024-02-24` 的 Arch Linux 容器镜像均受影响。
运行以下任一命令
podman image pull archlinux/archlinux
或
docker image pull archlinux/archlinux
以将受影响的容器镜像升级到最新版本。
之后,请务必重建基于受影响版本的任何容器镜像,并检查任何正在运行的容器!
关于 sshd 认证绕过/代码执行
来自上游报告(一篇)
openssh 不直接使用 liblzma。然而,Debian 和其他几个发行版会修补 openssh 以支持 systemd 通知,而 libsystemd 依赖于 lzma。
Arch 不直接将 openssh 链接到 liblzma,因此此攻击向量不可行。您可以通过发出以下命令来确认:
ldd "$(command -v sshd)"
然而,出于谨慎考虑,我们建议用户无论如何都通过升级来移除系统中的恶意代码。这是因为可能存在其他尚未发现的利用后门的方法。