CVE-2024-3094 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
- **本质**:xz 5.6.0/5.6.1 被植入**恶意代码**🚨 - **后果**:攻击者可远程未授权访问系统💥 - 破坏**机密性/完整性/可用性** → CVSS 满分级危险🔥
Q2根本原因?(CWE/缺陷点)
- **缺陷点**:构建流程中提取伪装测试文件→注入恶意对象🧩 - 修改 `liblzma` 函数逻辑 → 劫持数据流🕵️ - 类似**供应链投毒**,无明确 CWE 编号但属**构建污染**
Q3影响谁?(版本/组件)
- **影响版本**:XZ Utils **5.6.0**、**5.6.1**⚠️ - **组件**:`xz`、`liblzma`(Linux 常见压缩库)📦 - 含该库的发行版(如 Fedora 41、Rawhide)风险高🐧
Q4黑客能干啥?(权限/数据)
- **权限**:可获取**未授权远程访问**🚪 - **数据**:拦截/篡改程序与 `liblzma` 交互的数据📡 - 潜在完全控制受影响系统👑
Q5利用门槛高吗?(认证/配置)
- **利用门槛低**📉 - **无需认证**✅(`PR:N`) - **无需用户交互**✅(`UI:N`) - 只需目标使用受影响版本+加载恶意库
Q6有现成Exp吗?(PoC/在野利用)
- ✅ **有 PoC**:GitHub 多检测/利用脚本🔍 - 例:[CVE-2024-3094-checker](https://github.com/FabioBaroni/CVE-2024-3094-checker) - 例:[xzbot](https://github.com/amlweems/xzbot) - ⚠️ **已在野利用**(Red Hat 发紧急警报)🚨
Q7怎么自查?(特征/扫描)
- 🔍 **查版本**:`xz --version` 看是否为 5.6.0/5.6.1 - 🛠️ **用检测脚本**: - `wget ...CVE-2024-3094-checker.sh` → `./checker.sh` - 多仓库提供一键检测工具📋 - 📌 **特征**:构建过程异常、签名不符
Q8官方修了吗?(补丁/缓解)
- 🚨 **官方暂下架源码**(GitHub 因 ToS 违规移除) - 🛡️ **建议降级**至 **XZ Utils 5.4.6**(稳定未污染)✅ - CISA & Red Hat 发安全通告推动修复📣
Q9没补丁咋办?(临时规避)
- 🔽 **立即降级** xz-utils 到 5.4.6📉 - 🚫 **卸载 5.6.0/5.6.1** 并锁定版本防误升🔒 - 🧪 **重编译不含恶意逻辑的版本**(若需新版)
Q10急不急?(优先级建议)
- 🔥 **极高优先级**!CVSS 9.8 🚨 - 涉及**核心压缩库**→影响广🌐 - 易被用于**SSH 后门等攻击链**🔗 - **立刻自查+降级**保平安⏰