主流压缩软件XZ被曝后门!统信UOS:各版本均不受影响
时间:2024-04-01 09:01:41 小新新
4月1日消息,日前,开源软件xz-utils被曝5.6.0到5.6.1版本,存在被供应链攻击并植入后门风险。统信软件官方宣布,已对旗下所有产品完成了排查,确认包
4月1日消息,日前,开源软件xz-utils被曝5.6.0到5.6.1版本,存在被供应链攻击并植入后门风险。
统信软件官方宣布,已对旗下所有产品完成了排查, 确认包括统信UOS桌面操作系统与服务器操作系统各版本均不受其影响, 用户可以放心使用。
据了解,xz 5.6.0与5.6.1版本的上游代码中发现了后门程序,它通过加入测试用的二进制数据,然后再在编译脚本中从上述数据里提取内容修改编译结果。
根据目前初步研究显示, 生成的代码会挂钩OpenSSH的RSA加密相关函数,使得攻击者可以通过特定方式绕过RSA签名验证过程 ,其他可能的影响仍在持续研究中。