資安-CVE-2024-3094重大漏洞檢查

2024/03 CVE-2024-3094 CVSS v3 score: 10

xz工具漏洞之所以被重視,因為它除了是常用的資料壓縮/解壓縮用途外,還涉及到有關ssh和systemd,不只有在維運上,開發者若有用到函式庫liblzma也可能受影響,所以涵蓋範圍威脅範圍之大不言而喻,被評為滿分10分是理所當然.

影響xz的版本 5.6.0 和 5.6.1 ,檢查版本看是否有中招

xz --version

ref:

Logo#1068024 - revert to version that does not contain changes by bad actor - Debian Bug report logs
LogoReported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISACybersecurity and Infrastructure Security Agency CISA
LogoNVD - CVE-2024-3094
Logocve-details
LogoOpenSSF與OpenJS基金會示警XZ Utils後門可能非獨立事件iThome

不論是千人計畫、 APT27駭客攻擊事件 或是 此次的xz重大漏洞被維護者Jia Tan植入後門等,除了這些明面之外,可能也要注意暗面,尤其近期AI相關方面: 例如寫code IDE的生成式外掛工具,提供自動化布署和基礎設施的管理工具、整合性AI繪圖、語音、影片 及模型等,雖然不可能100%防護,但是多長點心眼可以降低許多不必要的風險.

PreviousAI-搭建本地chtgpt生成文字和圖片 - OllamaNextAI - PostgreSQL應用- PostgresML研究測試 與客製化編譯建置

Last updated