快科技4月1日訊息,日前,開源軟件xz-utils被曝5.6.0到5.6.1版本,存在被供應鏈攻擊並植入後門風險。
統信軟件官方宣布,已對旗下所有產品完成了排查,確認包括統信UOS桌面作業系統與伺服器作業系統各版本均不受其影響,使用者可以放心使用。
據了解,xz 5.6.0與5.6.1版本的上遊程式碼中發現了後門程式,它透過加入測試用的二進制數據,然後再在編譯指令碼中從上述數據裏提取內容修改編譯結果。
根據目前初步研究顯示,生成的程式碼會掛鉤OpenSSH的RSA加密相關函數,使得攻擊者可以透過特定方式繞過RSA簽名驗證過程,其他可能的影響仍在持續研究中。
作為一款流行的壓縮軟件,liblzma/xz被各Linux發行版廣泛使用,因此此安全漏洞的影響面較廣,對整個Linux生態系構成了威脅。
統信UOS作業系統受影響情況分析:
統信UOS桌面作業系統1060版本上xz-utils的版本為5.2.4.1-1+dde,不在漏洞影響範圍內,不受該漏洞影響。
統信UOS伺服器作業系統1060版本上xz的版本為5.2.5-3.uel20.01,不在漏洞影響範圍內,不受該漏洞影響。
另外,統信UOS作業系統其它版本均已被驗證不受該漏洞影響。
根據統信去年12月數據,統信UOS裝機量目前已達600萬套,市占率持續保持第一,伺服器版發貨量增速為行業第一。
