yd12300云顶集团关于CVE-2024-3094漏洞的声明

漏洞编号

CVE-2024-3094

漏洞级别

高危

漏洞信息

xz是一种通用的数据压缩格式，几乎存在于每个Linux发行版中。从5.6.0版开始，在xz的上游tarball中发现了恶意代码。通过一系列复杂的混淆，liblzma构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件，然后用于修改liblzma代码中的特定函数。这导致修改后的liblzma库可以被链接到该库的任何软件使用，拦截和修改与该库的数据交互。攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限，执行任意代码。

受影响版本：

xz 和 liblzma 5.6.0~5.6.1 版本

规避方案

目前官方暂未针对此后门漏洞发布公告和版本升级，相关用户可将xz-utils降级至5.6.0之前版本或在应用中替换为7zip等组件。

受影响情况

yd12300云顶集团所有产品均不受影响。

联系我们

针对此漏洞问题及详细解决方案，可以联系yd12300云顶集团技术支持热线电话400-828-6655及专业化服务人员、售前技术人员。

反馈yd12300云顶集团产品和解决方案安全问题，请反馈至云顶集团PSIRT邮箱PSIRT@hillstonenet.com，yd12300云顶集团尽全力保障产品用户的最终利益，遵循负责任的安全事件披露原则，并遵守相关法律法规处理产品安全问题。

yd12300云顶集团，为您的安全竭尽全力！