主流压缩软件XZ被曝后门！统信UOS：各版本均不受影响

XZ主压缩软件的伪装暴露了！同心UOS：所有版本不受影响

近日，有消息称开源软件xz-utils5.6.0至5.6.1版本存在被供应链攻击并被植入后门的风险。

同心软件官方宣布，已完成对旗下所有产品的排查，确认同心UOS桌面操作系统和服务器操作系统各版本均不受其影响，用户可以放心使用。

据了解，在xz5.6.0和5.6.1版本的上游代码中发现了一个后门程序，它修改了编译结果，添加了用于测试的二进制数据，然后在编译脚本中提取了上述数据的内容。

根据目前的初步研究，生成的代码将挂钩与OpenSSH的RSA加密相关的函数，允许攻击者以仍在研究的具体方式绕过RSA签名验证过程。

liblzma/xz作为流行的压缩软件，被各种Linux发行版广泛使用，因此该安全漏洞影响很大，对整个Linux生态系统构成威胁。

同心UOS操作系统影响分析：

UnisonUOSDesktop操作系统版本1060上的xz-utils版本为5.2.4.1-1dde，不在漏洞范围内，不受此漏洞影响。

UnisonUOS1060服务器操作系统版本上的xz版本为5.2.5-3.uel20.01，不在漏洞范围内，不受此漏洞影响。

此外，UOS操作系统的其他版本已被验证不受此漏洞影响。

据同心去年12月数据显示，同心UOS装机量目前已达600万台，市场份额继续稳居行业第一服务器版本出货量增速第一。

来源：快科技