Introductie
Er is een kwetsbaarheid ontdekt in de compressietool genaamd XZ Utils (xz), en deze kwetsbaarheid legt een SSH backdoor bloot. XZ Utils is geïnstalleerd op de meeste Unix-achtige besturingssystemen.
CVE-2024-3094 (CVSS v3.1: 10 [Kritisch]) was aangekondigd vandaag door Microsoft-software-ingenieur Andres Freund. Andrés zei:
After observing a few odd symptoms around liblzma (part of the xz package) on Debian sid installations over the last weeks (logins with ssh taking a lot of CPU, valgrind errors) I figured out the answer: The upstream xz repository and the xz tarballs have been backdoored.
Versies 5.6.0 en 5.6.1 van xz worden getroffen door dit beveiligingslek.
Dit is een relatief geavanceerde supply chain-aanval. ArsTechnica heeft meldde dat de ontwikkelaar die de backdoor in XZ Utils had gemaakt contact had opgenomen met veel beheerders van Linux-distributies om te vragen of de geüpgradede en getroffen versie zou worden opgenomen in distributie-images.
Betrokken producten
Debian verklaarde dat veel Linux-distributies nog niet de nieuwste xz-versie hebben opgenomen, maar van veel andere Linux-distributies wordt bevestigd dat ze updates voor de getroffen xz-versies beschikbaar hebben gemaakt of anderszins getroffen zijn. Het volgende is geen uitputtende lijst:
Kali Linux
Fedora 41 en Fedora Rawhide
openSUSE
Debian testing, unstable en experimental
xz geïnstalleerd door macOS Homebrew (brew) wordt ook beïnvloed.
Aanbevelingen
Veel Linux-distributies hebben al patches gepubliceerd of de getroffen versies uit repository’s verwijderd. macOS Homebrew heeft 5.6.x verwijderd.
Lezers wordt aangeraden de geïnstalleerde versies van xz op alle Unix-achtige systemen te controleren, wat betekent dat Linux-systemen, containers, servers, etc. allemaal moeten worden gecontroleerd; macOS-apparaten en -servers moeten worden gecontroleerd; en Windows Subsystem voor Linux moeten worden aangevinkt.
Versies 5.6.0/5.6.1 moeten van de getroffen systemen worden verwijderd en worden vervangen door een niet-getroffen versie.