腾讯云安全中心发布安全通告,指出XZ-Utils被投毒植入恶意后门,漏洞编号CVE-2024-3094,可导致受害者机器被远程控制执行恶意操作等危害。该漏洞存在于XZ Utils包中liblzma库的函数中,可能导致任何链接到XZ库的软件能够拦截和修改数据,在特定条件下可能允许恶意行为者破坏sshd认证,从而获得对受影响系统的访问权限。建议用户及时开展安全自查,如在受影响范围,请及时进行更新修复,避免被外部攻击者入侵。修复建议为排查XZ-Utils的版本,对XZ-Utils进行降级处理,降级到5.6.0以下版本。
