Firma Red Hat wydała dzisiaj „pilny alert bezpieczeństwa” dla użytkowników Fedory 41 i Fedory Rawhide za pośrednictwem XZ. Tak, narzędzia i biblioteki XZ dla tego formatu kompresji. Do XZ 5.6.0/5.6.1 dodano złośliwy kod, który może umożliwić nieautoryzowany zdalny dostęp do systemu.
Firma Red Hat powołuje się na CVE-2024-3094 w związku z tą luką XZ wynikającą z obecności złośliwego kodu w bazie kodu. Nie widziałem jeszcze publicznego ogłoszenia CVE-2024-3094, ale alert bezpieczeństwa Red Hat podsumowuje to w ten sposób:
„Szkodliwy wstrzykiwacz znaleziony w bibliotekach xz 5.6.0 i 5.6.1 został zasłonięty i znajduje się jedynie w całości w pakiecie do pobrania – w dystrybucji Git brakuje makra M4, które generuje złośliwy kod. Zastrzyk znajduje się w repozytorium Git w czasie kompilacji, w przypadku, gdy istnieje złośliwe makro M4.
Powstała złośliwa kompilacja zakłóca uwierzytelnianie na sshd za pośrednictwem systemd. SSH to powszechnie używany protokół do zdalnego łączenia się z systemami, a sshd to usługa umożliwiająca dostęp. W odpowiednich okolicznościach ta ingerencja może umożliwić złośliwemu aktorowi złamanie uwierzytelnienia sshd i zdalne uzyskanie nieautoryzowanego dostępu do całego systemu.
Oh! XZ 5.6 zadebiutował miesiąc temu, a XZ 5.6.1 ukazał się trzy tygodnie temu. W chwili pisania tego tekstu wersja XZ 5.6.2 lub podobna nie jest jeszcze dostępna po usunięciu złośliwego kodu.
Ostrzeżenie dotyczące flashowania Red Hat można znaleźć pod adresem Blog Red Hata. Debian również wydał podobną wersję Wiadomość dotycząca bezpieczeństwa Poprzez złośliwy kod w XZ Tools.
Krótko mówiąc, upewnij się, że nie masz teraz XZ 5.6.0/5.6.1 w swoich systemach.
aktualizować: Dodatkowe informacje są już dostępne pod adresem lista zabezpieczeń oss Wraz z odkryciem Andersa Freunda.
