#安全资讯 扫描发现 Debian 保留 35 个包含 XZ 后门的 Docker 镜像，说是用于警示用户永远使用最新版。研究人员并不同意这种说法，研究人员认为将这些包含后门的镜像公开，就可能出现意外拉取或者自动构建时意外使用旧版本带来的安全风险。查看全文：https://ourl.co/110183

2024 年 3 月 XZ-Utils 后门问题首次曝光，当时要不是发现及时可能会给整个科技行业带来严重的安全问题，不过已经过去 1 年 XZ 后门的影响仍然还在。

Docker Hub 是 Docker 运营的官方公共容器镜像注册中心，允许开发者和企业上传和下载预先构建的镜像并将其分享给社区，其他用户可以直接下载镜像并部署。

许多 CI/CD 管道、开发者和生产系统直接从 Docker Hub 提取镜像作为自身容器的基础层，如果这些镜像暗藏后门程序，则基于这些镜像的新构建也将集成后门程序。

还有多个镜像存在 XZ 后门：

网络安全公司 Binarly 的研究人员进行扫描后发现 Docker Hub 仍然存在多个包含 XZ 后门程序的镜像，研究人员很清楚如果开发者基于这些镜像构建新项目则可能导致后门程序的传染。

包含 XZ 后门程序的镜像包括 Debian Linux，在接到研究人员的反馈后 Debian Linux 项目组称这是有意保留包含后门的镜像，用来告诉用户务必使用新版本。

扫描发现 Debian 并没有从 Docker Hub 撤回使用包含 XZ 后门的 64 位镜像，其中至少有 35 个镜像仍然是可以下载的，如果用户下载旧版本 Debian 镜像就可能中招。

Debian 认为利用性非常低：

Debian Linux 的维护者承认他们有意选择不从 Docker Hub 中删除这些包含后门的镜像，而是将它们保留为历史遗物，告诫用户只使用最新版镜像。

维护者认为当前 XZ 后门被利用的可能性非常低，例如需要在容器上安装并运行 sshd、攻击者可以通过网络访问该容器的 ssh 服务以及使用与后门触发逻辑相匹配的私钥等。

Binarly 并不同意这种说法，该公司认为仅仅向公众开放这些镜像就会带来意外拉取或者在自动构建中被使用等导致的巨大风险，因此应该直接删除才对。