Das BSI hat eine Warnung über eine kritische 10.0 Schwachstelle herausgegeben zum Tool XZ innerhalb von Linux. Betroffen sind in der Red Hat-Familie nur Fedora 41 und Fedora Rawhide. Da die Schwachstelle medial nun bekannt wird, ist auch mit Angriffen zu rechnen.
Das BSI – das Bundesamt für Sicherheit in der Informationstechnik – warnt vor einer kritischen Schwachstelle die durch Malware in Linux-Distributionen verteilt wird Der Open-Source-Anbieter Red Hat hat am 29.03.2024 bekannt gegeben, dass in den Versionen 5.6.0 und 5.6.1 der “xz”-Tools und -Bibliotheken maliziöser Code entdeckt wurde, der es ermöglicht, die Authentifizierung in sshd über systemd zu umgehen. Die Schwachstelle wurde als CVE-2024-3094 veröffentlicht.
Verseuchte Bibliotheken im Downloadpaket
Die Injektion, die in den xz-Versionen 5.6.0 und 5.6.1 enthalten ist, ist verschleiert und nur im Download-Paket vollständig enthalten – in der Git-Distribution fehlt lediglich das Makro, welches die Erstellung des Schadcodes auslöst. Dieser agiert dann mit sshd, dem Service, der dem Nutzer Zugang zum System mit Hilfe des SSH-Protokolls gewährt.
Bisher sind innerhalb der Red Hat-Familie nur Fedora 41 und Fedora Rawhide betroffen. Es sind keine Versionen von Red Hat Enterprise Linux (RHEL) betroffen. Es besteht jedoch die Möglichkeit, dass auch andere Distributionen betroffen sein könnten.
CVSS-Score – 10 von 10
Die Schwachstelle wurde mit dem höchstmöglichen CVSS-Score – 10 von 10 – als “kritisch” bewertet . Weitere Details zur Ausnutzung von CVE-2024-3094 stehen mittlerweile zur Verfügung. Ebenso veröffentlichten verschiedene Linux-Distributoren Stellungnahmen zu der Frage, welche Betriebssysteme betroffen sein könnten.
Bei xz handelt sich um ein universelles Datenkomprimierungsformat, das in fast jeder Linux-Distribution enthalten ist, sowohl in Gemeinschaftsprojekten als auch in kommerziellen Produktdistributionen. Im Wesentlichen hilft es bei der Komprimierung (und anschließenden Dekomprimierung) großer Dateiformate in kleinere, besser handhabbare Größen für die gemeinsame Nutzung durch Dateiübertragung.
Seit der Veröffentlichung erster Informationen am 29. März erfährt die Schwachstelle große öffentliche Aufmerksamkeit. In Verbindung mit ihrem kritischen CVSS-Score ist davon auszugehen, dass kurzfristig Angriffsversuche stattfinden werden.
Mehr bei BSI.Bund.de
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.