Компания Red Hat предупредила пользователей о необходимости немедленно прекратить использование систем, работающих под управлением девелоперских и экспериментальных версий Fedora, из-за бэкдора, обнаруженного в последних версиях инструментов и библиотек для сжатия данных XZ Utils.
У нас есть сообщения и доказательства успешного создания инъекций в версиях xz 5.6.x, собранных для Debian unstable (Sid). Другие дистрибутивы также могут быть затронуты.
Команда безопасности Debian также предупреждает пользователей об этой проблеме. В сообщении говорится, что ни одна стабильная версия Debian не использует скомпрометированные пакеты и что XZ был возвращён к исходному коду 5.4.5 в затронутых тестовых, нестабильных и экспериментальных дистрибутивах Debian.
Инженер-программист Microsoft Андрес Фройнд обнаружил проблему безопасности исследовал входы в систему SSH на Linux сервере под управлением Debian Sid (версия разработки дистрибутива Debian). Он не нашел точной цели вредоносного кода, добавленного в XZ версий 5.6.0 и 5.6.1.
Red Hat вернулась к версии XZ 5.4.x в Fedora Beta
Red Hat теперь отслеживает эту проблему безопасности как CVE-2024-3094, присвоила ей 10/10 баллов серьезности и вернулась к версии XZ 5.4.x в Fedora 40 beta.
Вредоносный код обфусцирован и может быть найден только в полном пакете загрузки, а не в дистрибутиве Git где отсутствует макрос M4, который запускает процесс сборки бэкдора.
«В результате вредоносная сборка вмешивается в аутентификацию в sshd через systemd SSH – это широко используемый протокол для удаленного подключения к системам, а sshd – это служба, обеспечивающая доступ. При правильных обстоятельствах это вмешательство может позволить злоумышленнику нарушить аутентификацию sshd и получить несанкционированный доступ ко всей системе удаленно»
- говорится в сообщении Red Hat
CISA также опубликовали предупреждение разработчиков и пользователей о необходимости перехода на бескомпромиссную версию XZ (т.е. 5.4.6 Stable ) и отслеживания любой вредоносной или подозрительной активности в своих системах.
Комментарии (0)