主流压缩软件XZ被曝后门！统信UOS：各版本均不受影响

刘绪刚 · 发表于 2024-4-1 09:59:21

爱科技、爱创意、爱折腾、爱极致，我们都是技术控

您需要登录才可以下载或查看，没有账号？立即注册

x

快科技

快科技4月1日消息，日前，开源软件xz-utils被曝5.6.0到5.6.1版本，存在被供应链攻击并植入后门风险。
统信软件官方宣布，已对旗下所有产品完成了排查，确认包括统信UOS桌面操作系统与服务器操作系统各版本均不受其影响，用户可以放心使用。

登录/注册后可看大图

据了解，xz 5.6.0与5.6.1版本的上游代码中发现了后门程序，它通过加入测试用的二进制数据，然后再在编译脚本中从上述数据里提取内容修改编译结果。
根据目前初步研究显示，生成的代码会挂钩OpenSSH的RSA加密相关函数，使得攻击者可以通过特定方式绕过RSA签名验证过程，其他可能的影响仍在持续研究中。

登录/注册后可看大图

作为一款流行的压缩软件，liblzma/xz被各Linux发行版广泛使用，因此此安全漏洞的影响面较广，对整个Linux生态系统构成了威胁。
统信UOS操作系统受影响情况分析：
统信UOS桌面操作系统1060版本上xz-utils的版本为5.2.4.1-1+dde，不在漏洞影响范围内，不受该漏洞影响。
统信UOS服务器操作系统1060版本上xz的版本为5.2.5-3.uel20.01，不在漏洞影响范围内，不受该漏洞影响。
另外，统信UOS操作系统其它版本均已被验证不受该漏洞影响。
根据统信去年12月数据，统信UOS装机量目前已达600万套，市占率持续保持第一，服务器版发货量增速为行业第一。