Home > Security Bulletins > Populair Compressiegereedschap XZ Utils Backdoor – CVE-2024-3094 (CVSS: 10)

Populair Compressiegereedschap XZ Utils Backdoor – CVE-2024-3094 (CVSS: 10)

SD-WAN cloud network

Introductie

Er is een kwetsbaarheid ontdekt in de compressietool genaamd XZ Utils (xz), en deze kwetsbaarheid legt een SSH backdoor bloot. XZ Utils is geïnstalleerd op de meeste Unix-achtige besturingssystemen.

CVE-2024-3094 (CVSS v3.1: 10 [Kritisch]) was aangekondigd vandaag door Microsoft-software-ingenieur Andres Freund. Andrés zei:

After observing a few odd symptoms around liblzma (part of the xz package) on Debian sid installations over the last weeks (logins with ssh taking a lot of CPU, valgrind errors) I figured out the answer: The upstream xz repository and the xz tarballs have been backdoored.

Versies 5.6.0 en 5.6.1 van xz worden getroffen door dit beveiligingslek.

Dit is een relatief geavanceerde supply chain-aanval. ArsTechnica heeft meldde dat de ontwikkelaar die de backdoor in XZ Utils had gemaakt contact had opgenomen met veel beheerders van Linux-distributies om te vragen of de geüpgradede en getroffen versie zou worden opgenomen in distributie-images.

Betrokken producten

Debian verklaarde dat veel Linux-distributies nog niet de nieuwste xz-versie hebben opgenomen, maar van veel andere Linux-distributies wordt bevestigd dat ze updates voor de getroffen xz-versies beschikbaar hebben gemaakt of anderszins getroffen zijn. Het volgende is geen uitputtende lijst:

Kali Linux

Fedora 41 en Fedora Rawhide

openSUSE

Debian testing, unstable en experimental

xz geïnstalleerd door macOS Homebrew (brew) wordt ook beïnvloed.

Aanbevelingen

Veel Linux-distributies hebben al patches gepubliceerd of de getroffen versies uit repository’s verwijderd. macOS Homebrew heeft 5.6.x verwijderd.

Lezers wordt aangeraden de geïnstalleerde versies van xz op alle Unix-achtige systemen te controleren, wat betekent dat Linux-systemen, containers, servers, etc. allemaal moeten worden gecontroleerd; macOS-apparaten en -servers moeten worden gecontroleerd; en Windows Subsystem voor Linux moeten worden aangevinkt.

Versies 5.6.0/5.6.1 moeten van de getroffen systemen worden verwijderd en worden vervangen door een niet-getroffen versie.