BSI は、Linux 内の XZ ツールの 10.0 の重大な脆弱性について警告を発しました。 Red Hat ファミリの Fedora 41 と Fedora Rawhide のみが影響を受けます。この脆弱性はメディアで知られるようになったため、攻撃も予想されます。
BSI (連邦情報セキュリティ局) は、Linux ディストリビューションにマルウェアによって配布される重大な脆弱性について警告し、オープンソース プロバイダーである Red Hat は 29.03.2024 年 5.6.0 月 5.6.1 日、バージョン 2024 および 3094 で悪意のあるコードが発見されたと発表しました。 sshd での認証を systemd 経由でバイパスできるようにする「xz」ツールとライブラリ。この脆弱性は CVE-XNUMX-XNUMX として公開されました。
ダウンロード パッケージ内の汚染されたライブラリ
xz バージョン 5.6.0 および 5.6.1 に含まれるインジェクションは難読化されており、完全にダウンロード パッケージにのみ含まれています。Git ディストリビューションに含まれていないのは、悪意のあるコードの作成をトリガーするマクロだけです。これは、SSH プロトコルを使用してユーザーにシステムへのアクセスを許可するサービスである sshd と連携して機能します。
これまでのところ、Red Hat ファミリ内で影響を受けるのは Fedora 41 と Fedora Rawhide だけです。 Red Hat Enterprise Linux (RHEL) のどのバージョンも影響を受けません。ただし、他のディストリビューションも影響を受ける可能性があります。
CVSS スコア – 10 点中 10 点
この脆弱性は、可能な限り最高の CVSS スコア (10 点中 10 点) で「重大」と評価されました。 CVE-2024-3094 の悪用に関する詳細が現在入手可能です。さまざまな Linux ディストリビュータも、どのオペレーティング システムが影響を受ける可能性があるかという問題に関する声明を発表しました。
xz は、コミュニティ プロジェクトと商用製品ディストリビューションの両方の、ほぼすべての Linux ディストリビューションに含まれているユニバーサル データ圧縮形式です。基本的に、大きなファイル形式を、ファイル転送を通じて共有するために、より小さく管理しやすいサイズに圧縮 (および解凍) するのに役立ちます。
この脆弱性は、29 月 XNUMX 日に最初の情報が公開されて以来、多くの注目を集めてきました。重大な CVSS スコアと併せて、攻撃の試みは短期間に行われると想定できます。
詳細は BSI.Bund.de をご覧ください
連邦情報セキュリティ局 (BSI) について 連邦情報セキュリティ局 (BSI) は、連邦のサイバー セキュリティ機関であり、ドイツにおける安全なデジタル化の設計者です。 ミッション ステートメント: BSI は、連邦のサイバー セキュリティ機関として、州、企業、社会の防止、検出、および対応を通じて、デジタル化における情報セキュリティを設計します。