Kritična ranjivost u XZ Utils

Dana 29. ožujka 2024. godine, nekoliko tvrtki izdalo je sigurnosno upozorenje u vezi s backdoorom pronađenim u softveru XZ Utils. XZ Utils je softver za kompresiju podataka i može biti prisutan u Linux distribucijama. Zlonamjerni kod može omogućiti neovlašteni pristup ranjivim sustavima.
Preporučuje se vraćanje XZ Utils na verziju koja nije kompromitirana.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem: 
Problem je identificiran kao CVE-2024-3094 (CVSS ocjena 10 od 10). Zlonamjerni kod ometa autentifikaciju u sshd preko systemd inicijalizacijskog sustava. U odgovarajućim uvjetima, takvo ometanje potencijalno omogućuje zlonamjernom akteru da prekine autentifikaciju u sshd i dobije neovlašteni, udaljeni pristup cijelom sustavu.

Zahvaćeni proizvodi:
U trenutku pisanja objave, XZ Utils je kompromitiran od verzije 5.6.0 nadalje.
Gotovo sve distribucije Linuxa koriste XZ Utils. Međutim, kompromitirana verzija uglavnom je distribuirana u testnim verzijama distribucija. 
Sljedeće distribucije Linuxa zahvaćene su ovim problemom:
  • Fedora Linux 40;
  • Fedora Rawhide;
  • openSUSE Tumbleweed i openSUSE MicroOS;
  • Debian testne, nestabilne i eksperimentalne verzije;
  • Kali Linux.
Napomena: Ova lista nije konačna jer informacije o ovom problemu su preliminarne i nepotpune.

Preporuke:
Korisnici trebaju prestati koristiti ranjivu distribuciju ili ako je moguće vratiti XZ Utils na verziju prije 5.6.0. Trenutno se smatra da verzija 5.4.6 nije ranjiva. Preporučuje se prioritizacija sredstva koja su javno dostupna odnosno izložena internetu.
 
Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 03.4.2024 - 12:55]