Il BSI ha emesso un avviso su una vulnerabilità critica 10.0 nello strumento XZ all'interno di Linux. Sono interessate solo Fedora 41 e Fedora Rawhide della famiglia Red Hat. Poiché la vulnerabilità è ormai divenuta nota ai media, si possono prevedere anche degli attacchi.
Il BSI, l'Ufficio federale per la sicurezza informatica, avverte di una vulnerabilità critica diffusa da malware nelle distribuzioni Linux.Il provider open source Red Hat ha annunciato il 29.03.2024 marzo 5.6.0 che nelle versioni 5.6.1 e 2024 è stato scoperto un codice dannoso negli strumenti e nelle librerie "xz" che consentono di aggirare l'autenticazione in sshd tramite systemd. La vulnerabilità è stata pubblicata come CVE-3094-XNUMX.
Librerie contaminate nel pacchetto di download
L'iniezione, inclusa nelle versioni xz 5.6.0 e 5.6.1, è offuscata e inclusa completamente solo nel pacchetto di download: l'unica cosa che manca nella distribuzione Git è la macro che attiva la creazione del codice dannoso. Questo agisce poi con sshd, il servizio che garantisce all'utente l'accesso al sistema utilizzando il protocollo SSH.
Finora solo Fedora 41 e Fedora Rawhide sono interessate all'interno della famiglia Red Hat. Nessuna versione di Red Hat Enterprise Linux (RHEL) è interessata. Tuttavia, esiste la possibilità che anche altre distribuzioni possano essere interessate.
Punteggio CVSS – 10 su 10
La vulnerabilità è stata valutata “critica” con il punteggio CVSS più alto possibile – 10 su 10. Sono ora disponibili ulteriori dettagli sullo sfruttamento di CVE-2024-3094. Anche diversi distributori Linux hanno pubblicato dichiarazioni sulla questione di quali sistemi operativi potrebbero essere interessati.
xz è un formato di compressione dati universale incluso in quasi tutte le distribuzioni Linux, sia progetti di comunità che distribuzioni di prodotti commerciali. In sostanza, aiuta a comprimere (e quindi decomprimere) formati di file di grandi dimensioni in dimensioni più piccole e più gestibili per la condivisione tramite il trasferimento di file.
La vulnerabilità ha ricevuto molta attenzione da parte del pubblico da quando le prime informazioni sono state pubblicate il 29 marzo. In combinazione con il suo punteggio CVSS critico, si può presumere che i tentativi di attacco avverranno a breve termine.
Maggiori informazioni su BSI.Bund.de
Informazioni sull'Ufficio federale per la sicurezza delle informazioni (BSI) L'Ufficio federale per la sicurezza informatica (BSI) è l'autorità federale per la sicurezza informatica e il progettista della digitalizzazione sicura in Germania. La missione: la BSI, in qualità di autorità federale per la sicurezza informatica, progetta la sicurezza delle informazioni nella digitalizzazione attraverso la prevenzione, il rilevamento e la risposta per lo stato, le imprese e la società.