周五有消息称,广泛使用的压缩库 xz 中被植入了一个后门。
好消息是,除非你运行的是前沿版本,否则你的 Linux 发行版很可能是安全的。例如,如果你运行的是Red Hat Fedora 41 或 Fedora Rawhide ,那么你就存在安全漏洞,应该立即采取措施。如果你使用的是 Debian Unstable,也存在同样的问题。
但对于普通用户——Debian 稳定版本(包括 12)、RHEL、Ubuntu 等——来说是安全的。
不过,这也凸显了供应链攻击日益增长的风险,在广泛使用的上游(GitHub 仓库、npm 包等)中植入某些东西会导致下游出现广泛的漏洞。
在过去几周里,我观察到 Debian sid 安装上的 liblzma(xz 软件包的一部分)出现了一些奇怪的症状(使用 ssh 登录占用大量 CPU,valgrind 错误),之后我找到了答案:
上游 xz 存储库和 xz tar 包已被植入后门。
起初我以为这是 Debian 软件包的妥协版本,但后来发现它是上游版本。
后门程序的作者将代码放置在测试用例中,该代码会在构建过程中执行,从而导致恶意软件被注入。
现在,我们来看一个不太为人所知的角度。ycombinator 论坛上有一个很长的帖子在讨论这个问题。一位用户评论道:
您可能已经读到过,广泛使用的压缩库 xz 被发现在 5.6 版本中引入了后门。
Y Combinator 的一个讨论帖中有一条评论指出:
几年前我写了一个 Go 库,它封装了 xz C 代码,允许你在 Go 中进行 xz 压缩:https://github.com/jamespfennell/xz 大约一周前,我收到了该仓库的第一个 PR,要求升级到 5.6.1 版本。我觉得收到这样一个随机的 PR 很奇怪……不过,这个 PR 的 GitHub 账号和上游的不是同一个。
5.6.1 是 xz 的一个易受攻击的版本。
随后,另一位y Combinator论坛用户发表了评论:
我不想过度解读,但根据他的领英资料显示,提交 PR 的人(据称)从去年 12 月起就在 1Password 工作。(而且他的领英页面上有一个链接指向提交 PR 的 GitHub 个人资料。)
哎呀! 1Password 显然是恶意软件的理想目标。我已经向 1Password 提交了工单,告知他们此事并敦促他们进行调查。
正如我所说,Linux 社区似乎躲过了最严重的打击,但这类攻击仍然令人担忧。开源软件的共享特性使得攻击者很容易就能在我们的数字系统中植入恶意程序。
更新: 1Password 似乎已经联系了这篇关于 xz 事件总结的作者:
1Password 的一名员工向一个 Go 库提交了一个pull request ,要求将该库升级到存在漏洞的版本,然而,这完全是巧合。1Password 通过电子邮件联系了我,并让我查看了这条评论,一切似乎都符合预期。
更新#2: 1Password 回复了我的工单:
感谢您联系 1Password!
为了提供更多背景信息,我们的一名员工有一个个人 GitHub 帐户,其中包含一个与 1Password 无关的个人项目。
作为此个人项目开发的一部分,在受CVE-2026-3094影响的xz 项目中提交了一个拉取请求。此活动纯属巧合,与CVE-2026-3094无关。
我们的员工已在Github上发布代码,对此进行了更深入的解释。
希望这能让您更清楚地了解情况,如果您还有其他问题,请随时告诉我们。
