《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > 主流壓縮軟件XZ-utils被曝后門

主流壓縮軟件XZ-utils被曝后門

統(tǒng)信UOS:各版本均不受影響
2024-04-02
來源:快科技
關(guān)鍵詞: xz-utils 開源軟件 統(tǒng)信 UOS

日前,,開源軟件xz-utils被曝5.6.0到5.6.1版本,存在被供應(yīng)鏈攻擊并植入后門風(fēng)險,。

統(tǒng)信軟件官方宣布,,已對旗下所有產(chǎn)品完成了排查,確認(rèn)包括統(tǒng)信UOS桌面操作系統(tǒng)與服務(wù)器操作系統(tǒng)各版本均不受其影響,,用戶可以放心使用,。

1.jpg

據(jù)了解,xz 5.6.0與5.6.1版本的上游代碼中發(fā)現(xiàn)了后門程序,,它通過加入測試用的二進(jìn)制數(shù)據(jù),,然后再在編譯腳本中從上述數(shù)據(jù)里提取內(nèi)容修改編譯結(jié)果。

根據(jù)目前初步研究顯示,,生成的代碼會掛鉤OpenSSH的RSA加密相關(guān)函數(shù),,使得攻擊者可以通過特定方式繞過RSA簽名驗(yàn)證過程,其他可能的影響仍在持續(xù)研究中,。

2.png

作為一款流行的壓縮軟件,,liblzma/xz被各Linux發(fā)行版廣泛使用,因此此安全漏洞的影響面較廣,,對整個Linux生態(tài)系統(tǒng)構(gòu)成了威脅,。

統(tǒng)信UOS操作系統(tǒng)受影響情況分析:

統(tǒng)信UOS桌面操作系統(tǒng)1060版本上xz-utils的版本為5.2.4.1-1+dde,不在漏洞影響范圍內(nèi),,不受該漏洞影響,。

統(tǒng)信UOS服務(wù)器操作系統(tǒng)1060版本上xz的版本為5.2.5-3.uel20.01,,不在漏洞影響范圍內(nèi),不受該漏洞影響,。

另外,,統(tǒng)信UOS操作系統(tǒng)其它版本均已被驗(yàn)證不受該漏洞影響。

根據(jù)統(tǒng)信去年12月數(shù)據(jù),,統(tǒng)信UOS裝機(jī)量目前已達(dá)600萬套,,市占率持續(xù)保持第一,服務(wù)器版發(fā)貨量增速為行業(yè)第一,。

雜志訂閱.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。