安全机构Binarly披露，Docker Hub平台上仍有大量携带XZ Utils后门（CVE-2024-3094）的旧版Linux镜像未被清理。尽管部分主流Linux发行版已修复安装镜像，但依赖链传播和镜像维护方的消极处理，导致网络攻击风险持续存在。

2024年3月，XZ Utils（liblzma）压缩库被曝植入复杂后门，攻击者通过长期渗透项目维护团队（如伪装成开发者“Jia Tan”），在软件中埋设可被远程控制的漏洞。该后门影响广泛，因XZ Utils被OpenSSH等基础工具依赖，攻击者可利用特定私钥向SSH服务器注入恶意代码。Arch Linux、Debian、Fedora等主流发行版均曾中招。

Docker镜像成“定时炸弹”

Binarly最新调查发现，Docker Hub上至少35个官方Linux镜像仍携带受污染的XZ Utils版本（5.6.0/5.6.1）。这些镜像可能被其他开发者引用，形成传播链。尽管研究团队已向平台方和镜像维护者通报风险，部分维护者却以“历史文物”为由保留问题镜像，理由包括：

• 镜像已过期，用户需主动启用systemd和SSH服务方可触发漏洞；
• 后门利用需攻击者持有私钥，实际攻击概率“极低”。

对此，Binarly研究员批评称：“公开可访问的网络后门本身就是重大风险，任何侥幸心理都可能酿成安全事件。”

国内部分企业因历史原因仍使用旧版Linux容器镜像，尤其在以下场景中风险突出：

1. 离线环境：未及时更新基础镜像的内部容器仓库；
2. 自动化部署：CI/CD流水线引用公共镜像未做安全校验；
3. 遗留系统：运行旧版OpenSSH服务的服务器容器。

安全专家建议，国内运维团队应立即排查依赖链中是否包含XZ Utils 5.6.0/5.6.1版本，并优先使用国产镜像源（如阿里云、腾讯云容器服务）替代直接从Docker Hub拉取镜像。

自检与修复：

为帮助用户排查风险，Binarly开源了检测工具XZ.fail，可扫描系统或容器中的受污染库文件。修复方案包括：

• 升级XZ Utils至5.8.1及以上版本；
• 重建容器镜像，从官方渠道获取更新后的基础镜像；
• 启用镜像签名验证，避免依赖未经验证的第三方镜像。