BSI, Linux'taki XZ aracında kritik bir 10.0 güvenlik açığı hakkında bir uyarı yayınladı. Yalnızca Red Hat ailesindeki Fedora 41 ve Fedora Rawhide etkilendi. Güvenlik açığı artık medyada da bilindiği için saldırılar da beklenebilir.
BSI - Federal Bilgi Güvenliği Dairesi - Linux dağıtımlarındaki kötü amaçlı yazılımlar tarafından dağıtılan kritik bir güvenlik açığı konusunda uyarıyor. Açık kaynak sağlayıcısı Red Hat, 29.03.2024 Mart 5.6.0'te 5.6.1 ve 2024 sürümlerinde kötü amaçlı kod bulunduğunu duyurdu. sshd'deki kimlik doğrulamanın systemd aracılığıyla atlanmasına izin veren "xz" araçları ve kitaplıklarında. Güvenlik açığı CVE-3094-XNUMX olarak yayınlandı.
İndirme paketindeki kirlenmiş kitaplıklar
Xz 5.6.0 ve 5.6.1 sürümlerinde bulunan enjeksiyon, gizlenmiştir ve yalnızca indirme paketine tamamen dahil edilmiştir; Git dağıtımında eksik olan tek şey, kötü amaçlı kodun oluşturulmasını tetikleyen makrodur. Bu daha sonra kullanıcıya SSH protokolünü kullanarak sisteme erişim izni veren hizmet olan sshd ile hareket eder.
Şu ana kadar Red Hat ailesinde yalnızca Fedora 41 ve Fedora Rawhide etkilendi. Red Hat Enterprise Linux'un (RHEL) hiçbir sürümü etkilenmez. Ancak diğer dağıtımların da etkilenmesi ihtimali var.
CVSS puanı – 10 üzerinden 10
Güvenlik açığı, mümkün olan en yüksek CVSS puanıyla (10 üzerinden 10) "kritik" olarak derecelendirildi. CVE-2024-3094'ün kullanımına ilişkin daha fazla ayrıntı artık mevcut. Çeşitli Linux distribütörleri de hangi işletim sistemlerinin etkilenebileceği sorusuna ilişkin açıklamalar yayınladı.
xz, hem topluluk projelerinde hem de ticari ürün dağıtımlarında hemen hemen her Linux dağıtımında bulunan evrensel bir veri sıkıştırma formatıdır. Temel olarak, dosya aktarımı yoluyla paylaşım için büyük dosya formatlarının daha küçük, daha yönetilebilir boyutlara sıkıştırılmasına (ve ardından sıkıştırılmış halinin açılmasına) yardımcı olur.
Güvenlik açığı, ilk bilginin 29 Mart'ta yayınlanmasından bu yana kamuoyunun büyük ilgisini çekti. Kritik CVSS puanı da dikkate alındığında kısa vadede saldırı girişimlerinin gerçekleşeceği varsayılabilir.
BSI.Bund.de'de daha fazlası
Federal Bilgi Güvenliği Ofisi (BSI) hakkında Federal Bilgi Güvenliği Ofisi (BSI), federal siber güvenlik yetkilisidir ve Almanya'da güvenli sayısallaştırma tasarımcısıdır. Görev beyanı: Federal siber güvenlik otoritesi olarak BSI, devlet, iş dünyası ve toplum için önleme, tespit ve müdahale yoluyla dijitalleştirmede bilgi güvenliği tasarlar.