更新: 据我们所知,通过发布 tarball 分发的恶意代码从未进入 Arch Linux 提供的二进制文件,因为构建脚本配置为仅在基于 Debian/Fedora 的软件包构建环境中注入恶意代码。因此,可以忽略下面的新闻项目。
我们正在密切关注情况,并将根据需要更新软件包和新闻。
TL;DR:立即升级您的系统和容器镜像!
正如你们中的许多人可能已经读到的(链接一),版本 5.6.0 和 5.6.1 中 xz 的上游发布 tarball 包含恶意代码,该代码添加了后门。
此漏洞已在 Arch Linux 安全跟踪器中跟踪(链接二)。
版本 5.6.1-2 之前的 xz 软件包(特别是 5.6.0-1 和 5.6.1-1)包含此后门。
以下发布工件包含受损的 xz
- 安装介质
2024.03.01 - 虚拟机镜像
20240301.218094和20240315.221711 - 在 2024-02-24 和 2024-03-28 之间(包括这两天)创建的容器镜像
受影响的发布工件已从我们的镜像站中移除。
我们强烈建议不要使用受影响的发布工件,而是下载当前可用的最新版本!
升级系统
如果您的系统当前安装了 xz 版本 5.6.0-1 或 5.6.1-1,强烈建议立即进行完整的系统升级
pacman -Syu
升级容器镜像
要确定您是否正在使用受影响的容器镜像,请使用以下任一命令
podman image history archlinux/archlinux
或
docker image history archlinux/archlinux
取决于您使用的是 podman 还是 docker。
任何早于 2024-03-29 且晚于 2024-02-24 的 Arch Linux 容器镜像均受影响。
运行以下任一命令
podman image pull archlinux/archlinux
或
docker image pull archlinux/archlinux
将受影响的容器镜像升级到最新版本。
之后,请务必重建任何基于受影响版本的容器镜像,并检查任何正在运行的容器!
关于 sshd 身份验证绕过/代码执行
来自上游报告(链接一)
openssh 不直接使用 liblzma。但是 debian 和其他几个发行版修补了 openssh 以支持 systemd 通知,而 libsystemd 依赖于 lzma。
Arch 不直接将 openssh 链接到 liblzma,因此这种攻击向量是不可能的。您可以通过发出以下命令来确认这一点
ldd "$(command -v sshd)"
但是,出于高度谨慎,我们建议用户通过升级来移除系统中的恶意代码。这是因为可能存在其他尚未被发现的利用后门的方法。