XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件，包含liblzma、xz等组件，已集成在debian、ubuntu、centos等发行版仓库中。2024年3月30日，安全社区披露其存在 CVE-2024-3094 XZ-Utils 5.6.0-5.6.1版本后门风险。该后门存在于XZ Utils的5.6.0和5.6.1版本中，由于SSH底层依赖了liblzma等，攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限，执行任意代码。

受影响版本

5.6.0

5.6.1

解决建议

若您使用了受影响版本的XZ Util，建议您降级至 5.6.0 以下版本。