日前,,開源軟件xz-utils被曝5.6.0到5.6.1版本,存在被供應(yīng)鏈攻擊并植入后門風(fēng)險,。
統(tǒng)信軟件官方宣布,,已對旗下所有產(chǎn)品完成了排查,確認(rèn)包括統(tǒng)信UOS桌面操作系統(tǒng)與服務(wù)器操作系統(tǒng)各版本均不受其影響,,用戶可以放心使用,。
據(jù)了解,xz 5.6.0與5.6.1版本的上游代碼中發(fā)現(xiàn)了后門程序,,它通過加入測試用的二進(jìn)制數(shù)據(jù),,然后再在編譯腳本中從上述數(shù)據(jù)里提取內(nèi)容修改編譯結(jié)果。
根據(jù)目前初步研究顯示,,生成的代碼會掛鉤OpenSSH的RSA加密相關(guān)函數(shù),,使得攻擊者可以通過特定方式繞過RSA簽名驗(yàn)證過程,其他可能的影響仍在持續(xù)研究中,。
作為一款流行的壓縮軟件,,liblzma/xz被各Linux發(fā)行版廣泛使用,因此此安全漏洞的影響面較廣,,對整個Linux生態(tài)系統(tǒng)構(gòu)成了威脅,。
統(tǒng)信UOS操作系統(tǒng)受影響情況分析:
統(tǒng)信UOS桌面操作系統(tǒng)1060版本上xz-utils的版本為5.2.4.1-1+dde,不在漏洞影響范圍內(nèi),,不受該漏洞影響,。
統(tǒng)信UOS服務(wù)器操作系統(tǒng)1060版本上xz的版本為5.2.5-3.uel20.01,,不在漏洞影響范圍內(nèi),不受該漏洞影響,。
另外,,統(tǒng)信UOS操作系統(tǒng)其它版本均已被驗(yàn)證不受該漏洞影響。
根據(jù)統(tǒng)信去年12月數(shù)據(jù),,統(tǒng)信UOS裝機(jī)量目前已達(dá)600萬套,,市占率持續(xù)保持第一,服務(wù)器版發(fā)貨量增速為行業(yè)第一,。