关于我们

麒麟动态

当前位置  >  首页  >  关于我们  >  麒麟动态  >  正文

开源无忧!麒麟系统不受XZ后门影响

发布时间:2024-04-01    浏览次数:2576次    作者:麒麟软件


3月29日,有消息称在xz-utils软件包5.6.0到5.6.1版本中,存在被供应链攻击并植入后门风险。xz作为一种通用的数据压缩格式,几乎存在于所有开源和商业发行版的Linux操作系统版本。


麒麟软件第一时间进行分析排查,经验证,银河麒麟桌面操作系统和银河麒麟高级服务器操作系统均不受影响。



背景介绍


xz-utils软件包如何威胁linux生态安全?


从5.6.0版本开始,在xz的上游tarball包中发现了恶意代码。通过一系列复杂的混淆手段,liblzma的构建过程从伪装成测试文件的源代码中提取出预构建的目标文件,然后用它来修改liblzma代码中的特定函数。这导致生成了一个被修改过的liblzma库,任何链接此库的软件都可能使用它,从而拦截并修改与此库的数据交互。由于库的使用如此广泛,因此该漏洞的严重性对整个Linux生态系统构成了威胁。


通讯员 | 张超

来    源 | 安全研发部

审    核 | 市场与政府事务部

上一篇: 迁移效果好,测试很重要!针对迁移工具kyreplace的高效自动化测试平台 下一篇: 麒麟软件深度参与!《教育行业数字化自主创新飞腾生态解决方案白皮书》发布

试用

服务

动态

联系