La BSI ha emitido una advertencia sobre una vulnerabilidad crítica 10.0 en la herramienta XZ dentro de Linux. Sólo Fedora 41 y Fedora Rawhide de la familia Red Hat se ven afectados. Dado que la vulnerabilidad se ha dado a conocer en los medios, también se pueden esperar ataques.
La BSI (Oficina Federal de Seguridad de la Información) advierte sobre una vulnerabilidad crítica que se propaga mediante malware en las distribuciones de Linux. El proveedor de código abierto Red Hat anunció el 29.03.2024 de marzo de 5.6.0 que en las versiones 5.6.1 y 2024 se descubrió código malicioso. en las herramientas y bibliotecas “xz” que permiten omitir la autenticación en sshd a través de systemd. La vulnerabilidad se publicó como CVE-3094-XNUMX.
Bibliotecas contaminadas en el paquete de descarga.
La inyección, que se incluye en las versiones 5.6.0 y 5.6.1 de xz, está ofuscada y solo se incluye completamente en el paquete de descarga; lo único que falta en la distribución de Git es la macro que desencadena la creación del código malicioso. Esto luego actúa con sshd, el servicio que otorga al usuario acceso al sistema mediante el protocolo SSH.
Hasta ahora sólo Fedora 41 y Fedora Rawhide están afectados dentro de la familia Red Hat. Ninguna versión de Red Hat Enterprise Linux (RHEL) se ve afectada. Sin embargo, existe la posibilidad de que otras distribuciones también se vean afectadas.
Puntuación CVSS: 10 sobre 10
La vulnerabilidad fue calificada como "crítica" con la puntuación CVSS más alta posible: 10 sobre 10. Ya están disponibles más detalles sobre la explotación de CVE-2024-3094. Varios distribuidores de Linux también publicaron declaraciones sobre qué sistemas operativos podrían verse afectados.
xz es un formato de compresión de datos universal que se incluye en casi todas las distribuciones de Linux, tanto en proyectos comunitarios como en distribuciones de productos comerciales. Básicamente, ayuda a comprimir (y luego descomprimir) formatos de archivos grandes en tamaños más pequeños y manejables para compartirlos mediante la transferencia de archivos.
La vulnerabilidad ha recibido mucha atención pública desde que se publicó la primera información el 29 de marzo. En combinación con su puntuación CVSS crítica, se puede suponer que se producirán intentos de ataque en el corto plazo.
Más en BSI.Bund.de
Acerca de la Oficina Federal para la Seguridad de la Información (BSI) La Oficina Federal para la Seguridad de la Información (BSI) es la autoridad federal de seguridad cibernética y el diseñador de la digitalización segura en Alemania. La declaración de misión: El BSI, como autoridad federal de seguridad cibernética, diseña la seguridad de la información en la digitalización a través de la prevención, detección y respuesta para el estado, las empresas y la sociedad.