新闻稿
安全可靠 | 红旗软件全线操作系统产品均不受liblzma/xz漏洞影响
针对近日发现的liblzma/xz漏洞,北京红旗软件有限公司经过全面审查,确认:
* Red Flag Asianux Server Linux V4 的 xz版本为:4.999
* Red Flag Asianux Server Linux V7 的 xz版本为:5.2.2
* Red Flag Asianux Server Linux V8 的 xz版本为:5.2.4
这三个主打版本均不受病毒影响。
此外,红旗软件其它产品也不受此漏洞影响。
*关于liblzma/xz漏洞*
XZ是类 Unix 操作系统上的一种无损数据压缩格式,类似于 gzip 和 bzip2 等其他常见数据压缩格式。XZ-Utils 是一个命令行工具,包含 XZ 文件和 liblzma 的压缩和解压缩功能,liblzma是XZ-Utils依赖的一个压缩库,提供了类似于zlib的编程接口,用于实现LZMA算法,允许开发者在他们的应用程序中集成LZMA压缩和解压缩功能。
从 xz-utils 5.6.0 版本开始,XZ 的上游 tarball 中发现被投毒植入了恶意代码。 恶意代码修改了XZ-Utils包中liblzma库的函数,可能导致任何链接到XZ库的软件能够拦截和修改数据。在特定条件下,该后门可能允许恶意行为者破坏sshd认证,从而获得对受影响系统的访问权限。