近日，微软PostgreSQL开发人员在调查SSH性能问题时，在xz软件包中发现了一个涉及混淆恶意代码的供应链攻击。

一、漏洞详情

XZ-Utils是Linux/Unix系统中用于处理.xz和.lzma文件的命令行压缩工具，集成了liblzma等组件。

恶意代码修改了liblzma代码中的函数，该代码是XZ Utils软件包的一部分。由于SSH底层依赖了liblzma等组件，攻击者可能利用这一漏洞破坏sshd认证，并远程获取对整个系统的未授权访问。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

自查命令:xz  --version

二、影响范围

XZ Utils == 5.6.0

XZ Utils == 5.6.1

三、修复建议

如果确认受影响，可将XZ Utils降级到未受影响的版本，如XZ Utils 5.4.6 Stable。

联系人：李振建 0431-85166439

大数据和网络管理中心

2024年4月23日