“诊脉”守护,openKylin不受XZ后门影响!
3月29日,xz-utils软件包被披露其5.6.0到5.6.1版本中存在被供应链攻击并植入后门风险。从5.6.0版本起,xz上游tarball包发现恶意代码。通过混淆手段,在liblzma构建过程中从伪装测试文件的源代码提取预构建目标文件,修改liblzma代码特定函数。这导致生成被修改过的liblzma库,任何链接此库的软件都可能使用它拦截并修改数据交互。由于liblzma库使用广泛,几乎存在于所有开源和商业发行版的Linux操作系统版本,因此该漏洞将严重威胁整个Linux生态系统。
因此,openKylin社区及时进行分析排查,初步确认openKylin操作系统yangtze(0.7、0.7.5、0.9、0.9.5、1.0、1.0.1、1.0.2)、nile(2.0 Alpha)系列均不受影响,具体情况分析如下:
yangtze系列xz-utils的版本为5.2.4,不受此漏洞影响; nile系列xz-utils的版本为5.2.4(release)、5.4.5(proposed),不受此漏洞影响;
但是,仅通过版本号确认还不够确凿,openKylin社区利用SecurityGovernance SIG组开发的“诊脉”(Genmai)漏洞扫描工具进一步扫描确认。以2.0 Alpha版本为例,如下图所示的漏洞poc验证检测结果为:不受影响。
“诊脉”(Genmai)项目主要应用于对openKylin操作系统进行自动化的安全检测。其针对内核漏洞、系统漏洞、配置错误等方面可便捷、快速、准确的找出所存在问题,并根据检测出的问题进行自动化修复。这大大减少了人力安全检测成本和系统人力修复成本,避免漏洞复用的危害性,提高了检测效率,增加openKylin操作系统安全性。
项目代码:
https://gitee.com/openkylin/genmai
SecurityGovernance SIG主页:
https://gitee.com/openkylin/securitygovernance-management
openKylin(开放麒麟)社区旨在以“共创”为核心,在开源、自愿、平等、协作的基础上,通过开源、开放的方式与企业构建合作伙伴生态体系,共同打造开源操作系统顶级社区,推动Linux开源技术及其软硬件生态繁荣发展。
社区理事成员单位包括麒麟软件、普华基础软件、中科方德、麒麟信安、凝思软件、一铭软件、中兴新支点、元心科技、中国电科32所、技德系统、北京麟卓、先进操作系统创新中心、飞腾、兆芯、龙芯中科、景美、京东科技、平头哥、申泰信息、海光等21家产业同仁和行业机构。
往期推荐:
国赛来袭!中国研究生操作系统开源创新大赛报名开启,十万奖金等你来~
给开发者更好的选择!支持多种AI框架的openKylin 2.0 alpha版本来啦!openKylin城市用户组招募啦,超多权益等你来!openKylin 1.0.2版本正式发布!支持Intel最新CPU平台