关键信息总结 漏洞概述 CVE编号: CVE-2024-3094 描述: 在xz的5.6.0版本及以上中发现恶意代码,这些代码通过伪装的测试文件中的预构建对象文件,被liblzma构建过程提取,进而修改liblzma中的特定函数,导致任何链接该库的软件能够拦截和修改与该库交互的数据。 严重性与追踪 NVD严重性: 未知 其他追踪器: CVE, NVD, CERT, CVE Details, CIRCL, Arch Linux, Debian, Red Hat, Ubuntu, Gentoo, SUSE (Bugzilla), SUSE (CVE), Mageia 邮件列表: oss-security, full-disclosure, bugtraq 利用库: Exploit DB, Metasploit 仓库: GitHub (code, issues), Aports (code, issues) 版本影响与修复状态 受影响的源包和版本 - xz - edge-main: 5.6.1-r3 (已修复), 5.6.1-r2 (已修复), 5.6.1-r2 (未指定维护者, 已修复) - 3.22-main: 5.6.1-r2 (已修复) - 3.21-main: 5.6.1-r2 (未指定维护者, 已修复), 5.6.1-r3 (已修复) - 3.20-main: 5.6.1-r2 (未指定维护者, 已修复), 5.6.1-r3 (已修复) - lighttpd - 3.18-main: 1.4.76-r0 (已修复) - 3.17-main: 1.4.76-r0 (已修复) 参考链接 列出多个与漏洞相关的细节描述、文章、安全公告等链接,便于进一步深入研究与验证。 此漏洞涉及供应链安全问题,影响广泛的Linux工具库,其修复工作和影响评估非常重要。