O BSI emitiu um aviso sobre uma vulnerabilidade crítica 10.0 na ferramenta XZ do Linux. Apenas o Fedora 41 e o Fedora Rawhide da família Red Hat são afetados. Como a vulnerabilidade já se tornou conhecida na mídia, também podem ser esperados ataques.
O BSI - Escritório Federal de Segurança da Informação - alerta sobre uma vulnerabilidade crítica que é distribuída por malware em distribuições Linux. O provedor de código aberto Red Hat anunciou em 29.03.2024 de março de 5.6.0 que nas versões 5.6.1 e 2024 .3094 foi descoberto código malicioso nas ferramentas e bibliotecas “xz” que permitem que a autenticação em sshd seja contornada via systemd. A vulnerabilidade foi publicada como CVE-XNUMX-XNUMX.
Bibliotecas contaminadas no pacote de download
A injeção, que está incluída nas versões xz 5.6.0 e 5.6.1, é ofuscada e totalmente incluída apenas no pacote de download - a única coisa que falta na distribuição Git é a macro que aciona a criação do código malicioso. Isso então atua com o sshd, o serviço que concede ao usuário acesso ao sistema usando o protocolo SSH.
Até agora, apenas o Fedora 41 e o Fedora Rawhide foram afetados na família Red Hat. Nenhuma versão do Red Hat Enterprise Linux (RHEL) é afetada. No entanto, existe a possibilidade de que outras distribuições também possam ser afetadas.
Pontuação CVSS – 10 de 10
A vulnerabilidade foi classificada como “crítica” com a pontuação CVSS mais alta possível – 10 em 10. Mais detalhes sobre a exploração do CVE-2024-3094 já estão disponíveis. Vários distribuidores Linux também publicaram declarações sobre quais sistemas operacionais poderiam ser afetados.
xz é um formato universal de compactação de dados incluído em quase todas as distribuições Linux, tanto em projetos comunitários quanto em distribuições de produtos comerciais. Essencialmente, ele ajuda a compactar (e depois descompactar) formatos de arquivos grandes em tamanhos menores e mais gerenciáveis para compartilhamento por meio de transferência de arquivos.
A vulnerabilidade tem recebido muita atenção do público desde que as primeiras informações foram publicadas, em 29 de março. Em conjunto com a sua pontuação crítica no CVSS, pode-se presumir que as tentativas de ataque ocorrerão no curto prazo.
Mais em BSI.Bund.de
Sobre o Escritório Federal de Segurança da Informação (BSI) O Escritório Federal de Segurança da Informação (BSI) é a autoridade federal de segurança cibernética e o criador da digitalização segura na Alemanha. A declaração de missão: O BSI, como autoridade federal de segurança cibernética, projeta segurança da informação na digitalização por meio de prevenção, detecção e resposta para o estado, negócios e sociedade.