日前，開源軟件xz-utils被曝5.6.0到5.6.1版本，存在被供應(yīng)鏈攻擊并植入后門風(fēng)險(xiǎn)。

統(tǒng)信軟件官方宣布，已對(duì)旗下所有產(chǎn)品完成了排查，確認(rèn)包括統(tǒng)信UOS桌面操作系統(tǒng)與服務(wù)器操作系統(tǒng)各版本均不受其影響，用戶可以放心使用。

據(jù)了解，xz 5.6.0與5.6.1版本的上游代碼中發(fā)現(xiàn)了后門程序，它通過加入測(cè)試用的二進(jìn)制數(shù)據(jù)，然后再在編譯腳本中從上述數(shù)據(jù)里提取內(nèi)容修改編譯結(jié)果。

根據(jù)目前初步研究顯示，生成的代碼會(huì)掛鉤OpenSSH的RSA加密相關(guān)函數(shù)，使得攻擊者可以通過特定方式繞過RSA簽名驗(yàn)證過程，其他可能的影響仍在持續(xù)研究中。

作為一款流行的壓縮軟件，liblzma/xz被各Linux發(fā)行版廣泛使用，因此此安全漏洞的影響面較廣，對(duì)整個(gè)Linux生態(tài)系統(tǒng)構(gòu)成了威脅。

統(tǒng)信UOS操作系統(tǒng)受影響情況分析：

統(tǒng)信UOS桌面操作系統(tǒng)1060版本上xz-utils的版本為5.2.4.1-1+dde，不在漏洞影響范圍內(nèi)，不受該漏洞影響。

統(tǒng)信UOS服務(wù)器操作系統(tǒng)1060版本上xz的版本為5.2.5-3.uel20.01，不在漏洞影響范圍內(nèi)，不受該漏洞影響。

另外，統(tǒng)信UOS操作系統(tǒng)其它版本均已被驗(yàn)證不受該漏洞影響。

根據(jù)統(tǒng)信去年12月數(shù)據(jù)，統(tǒng)信UOS裝機(jī)量目前已達(dá)600萬套，市占率持續(xù)保持第一，服務(wù)器版發(fā)貨量增速為行業(yè)第一。