安全无忧，放心使用！——长擎安全操作系统不受XZ后门影响

日前，XZ-Utils的5.6.0和5.6.1版本被维护者注入了后门，迅速在业界引起了广泛关注。长擎软件立即组织技术专家团队对我司旗下产品开展严格排查，经过评测验证长擎安全操作系统不受XZ后门影响，请用户放心使用！

漏洞描述

此次XZ漏洞事件属于一次软件供应链攻击事件，由于XZ软件包是基于systemd Linux系统上的OpenSSH依赖包，导致OpenSSH受到了巨大的安全威胁；此次后门漏洞可以劫持RSA的函数入口，并把私钥注入到目标机器的OpenSSH中，从而使得攻击者能够在未经身份验证的情况下，在目标系统上运行任意命令。

漏洞影响

此次XZ漏洞对XZ-Utils5.6.0和XZ-Utils5.6.1的软件包有影响，由于长擎安全操作系统不提供此版本的XZ工具包，所以长擎安全操作系统默认不会受到此次安全事件的影响。

同时，在长擎安全操作系统上使用XZ利用工具进行攻击测试，测试结果发现无法利用此次漏洞对系统进行攻击，更加验证了XZ漏洞不会对长擎安全操作系统产生任何影响。

最后，长擎安全操作系统是长擎软件推出的服务器操作系统品牌，以可信计算技术和安全操作系统为基础，符合我国公安部GB/T 20272-2019结构化保护级（第四级）安全要求。

长擎安全操作系统提供的强制访问控制机制可以实现对程序的细粒度访问控制设置，使得程序必须按照预制的安全策略运行，可以有效防止此类XZ后门程序的远程访问攻击事件；长擎安全操作系统提供了双因子登录机制，在OpenSSH远程登录时不仅提供了通用的身份登录机制，而且提供了基于Ukey等硬件模块的身份验证机制，可以有效阻止XZ后门程序绕过身份验证。长擎软件积极投身于操作系统根社区的开源贡献，操作系统中的所有软件包来自于国内的操作系统根社区以及自主自研，可以有效缓解基于开源软件供应链的攻击行为。

预见安全，筑牢防线！未来，长擎软件将不断提高安全意识，加强开源软件的安全审查和验证过程，以用户安全为己任，持续技术创新，突破核心技术，致力于打造坚若磐石的安全底座，携手用户共建安全稳定可靠的数字新生态！