Le BSI a émis un avertissement concernant une vulnérabilité critique 10.0 dans l'outil XZ sous Linux. Seuls Fedora 41 et Fedora Rawhide de la famille Red Hat sont concernés. La vulnérabilité étant désormais connue dans les médias, des attaques sont également à prévoir.
Le BSI - l'Office fédéral de la sécurité de l'information - met en garde contre une vulnérabilité critique distribuée par des logiciels malveillants dans les distributions Linux. Le fournisseur open source Red Hat a annoncé le 29.03.2024 mars 5.6.0 que dans les versions 5.6.1 et 2024, un code malveillant avait été découvert. dans les outils et bibliothèques « xz » qui permettent de contourner l'authentification dans sshd via systemd. La vulnérabilité a été publiée sous le numéro CVE-3094-XNUMX.
Bibliothèques contaminées dans le package de téléchargement
L'injection, qui est incluse dans les versions xz 5.6.0 et 5.6.1, est obscurcie et n'est entièrement incluse que dans le package de téléchargement - la seule chose qui manque dans la distribution Git est la macro qui déclenche la création du code malveillant. Celui-ci agit ensuite avec sshd, le service qui accorde à l'utilisateur l'accès au système en utilisant le protocole SSH.
Jusqu'à présent, seuls Fedora 41 et Fedora Rawhide sont concernés au sein de la famille Red Hat. Aucune version de Red Hat Enterprise Linux (RHEL) n'est affectée. Cependant, il est possible que d’autres distributions soient également affectées.
Score CVSS – 10 sur 10
La vulnérabilité a été classée « critique » avec le score CVSS le plus élevé possible – 10 sur 10. De plus amples détails sur l’exploitation de CVE-2024-3094 sont désormais disponibles. Divers distributeurs Linux ont également publié des déclarations sur la question de savoir quels systèmes d'exploitation pourraient être concernés.
xz est un format de compression de données universel inclus dans presque toutes les distributions Linux, qu'il s'agisse de projets communautaires ou de distributions de produits commerciaux. Essentiellement, il permet de compresser (puis de décompresser) les grands formats de fichiers en tailles plus petites et plus gérables pour le partage via le transfert de fichiers.
La vulnérabilité a reçu beaucoup d'attention du public depuis la publication des premières informations le 29 mars. En conjonction avec son score CVSS critique, on peut supposer que des tentatives d'attaque auront lieu à court terme.
Plus sur BSI.Bund.de
À propos de l'Office fédéral de la sécurité de l'information (BSI) L'Office fédéral de la sécurité de l'information (BSI) est l'autorité fédérale de cybersécurité et le concepteur de la numérisation sécurisée en Allemagne. L'énoncé de mission : Le BSI, en tant qu'autorité fédérale de cybersécurité, conçoit la sécurité de l'information dans la numérisation par la prévention, la détection et la réponse pour l'État, les entreprises et la société.