BSI випустив попередження про критичну вразливість 10.0 в інструменті XZ у Linux. Це стосується лише Fedora 41 і Fedora Rawhide із сімейства Red Hat. Оскільки зараз про уразливість стало відомо в ЗМІ, також можна очікувати атак.
BSI – Федеральне відомство з інформаційної безпеки – попереджає про критичну вразливість, яка поширюється зловмисним програмним забезпеченням у дистрибутивах Linux. Провайдер із відкритим кодом Red Hat оголосив 29.03.2024 березня 5.6.0 року про виявлення шкідливого коду у версіях 5.6.1 і 2024. в інструментах і бібліотеках «xz», які дозволяють обійти автентифікацію в sshd через systemd. Уразливість була опублікована як CVE-3094-XNUMX.
Заражені бібліотеки в пакеті завантаження
Ін’єкція, яка включена в xz версії 5.6.0 і 5.6.1, обфускована і повністю включена лише в пакет завантаження – єдине, чого не вистачає в дистрибутиві Git, це макрос, який запускає створення шкідливого коду. Потім це працює з sshd, службою, яка надає користувачеві доступ до системи за допомогою протоколу SSH.
Наразі лише Fedora 41 і Fedora Rawhide уражені в сімействі Red Hat. Це не стосується жодної версії Red Hat Enterprise Linux (RHEL). Однак існує ймовірність, що це також може вплинути на інші дистрибутиви.
Оцінка CVSS – 10 з 10
Уразливість була оцінена як «критична» з максимально можливою оцінкою CVSS – 10 з 10. Тепер доступні додаткові відомості про використання CVE-2024-3094. Різні розповсюджувачі Linux також опублікували заяви щодо того, на які операційні системи це може вплинути.
xz — це універсальний формат стиснення даних, який включено майже в кожен дистрибутив Linux, як у громадських проектах, так і в дистрибутивах комерційних продуктів. По суті, це допомагає стискати (а потім розпаковувати) великі формати файлів у менші, більш керовані розміри для спільного використання через передачу файлів.
Ця вразливість привернула велику увагу громадськості з моменту публікації першої інформації 29 березня. У поєднанні з його критичним показником CVSS можна припустити, що спроби атаки відбуватимуться в короткостроковій перспективі.
Більше на BSI.Bund.de
Про Федеральне відомство з інформаційної безпеки (BSI) Федеральне відомство з інформаційної безпеки (BSI) є федеральним органом з кібербезпеки та розробником безпечної цифровізації в Німеччині. Заява місії: BSI, як федеральний орган кібербезпеки, розробляє інформаційну безпеку в оцифровці шляхом запобігання, виявлення та реагування для держави, бізнесу та суспільства.