CVE-2024-3094 biztonsági rést (XZ hátsó ajtó) fedeztek fel a Linux adattömörítési könyvtárban

A Red Hat sürgős biztonsági figyelmeztetést adott ki pénteken a széles körben használt XZ Utils, korábban LZMA Utils néven ismert adattömörítő eszköz két verziójával kapcsolatban, amelyeket illetéktelen távoli hozzáférést célzó rosszindulatú kóddal fertőztek meg.

A CVE-2024-3094 jelű biztonsági hiba, amelyet 10.0-s súlyossági pontszámmal értékeltek, az XZ Utils 5.6.0 (február 24-én jelent meg) és 5.6.1 (március 9-én) verzióját érinti.

A Red Hat szerint a liblzma könyvtáron belüli kompromittált kódot a felépítés során egy összetett folyamaton keresztül fecskendezik be, lehetővé téve az adatinterakciók elfogását és módosítását. Pontosabban, a kód célja az sshd démon folyamat megzavarása a systemd szoftvercsomagon belül, ami bizonyos feltételek mellett lehetővé teszi a jogosulatlan hozzáférést a rendszerhez.

A hátsó ajtó tetszőleges hasznos terhelést tesz lehetővé SSH-n keresztül

Ennek a hátsó ajtónak a végső célja, amint azt a JFrog azonosította, hogy kódot fecskendezzen be az OpenSSH-kiszolgálóba (SSHD), hogy egy adott privát kulccsal rendelkező távoli támadók tetszőleges rakományokat hajtsanak végre az SSH-n keresztül a hitelesítés előtt, lényegében átveve az irányítást az áldozat gépe felett.

A problémára Andres Freund, a Microsoft biztonsági kutatója hívta fel a figyelmet, aki egy Jia Tan (JiaT75) nevű felhasználó által a Tukaani Project GitHub tárházába bevezetett, erősen zavart rosszindulatú kódot azonosított.

A Microsoft tulajdonában lévő GitHub a szolgáltatási feltételek megsértése miatt intézkedett az XZ Utils adattárának letiltásával. Jelenleg nem érkezett jelentés a vadon élő aktív kizsákmányolásról.

Az érintett csomagok csak a Fedora 41-ben és a Fedora Rawhide-ban találhatók, de nincs hatással más disztribúciókra, mint például az Alpine Linux, az Amazon Linux, a Debian Stable, a Gentoo Linux, a Linux Mint, a Red Hat Enterprise Linux (RHEL), a SUSE Linux Enterprise és a Leap. , és Ubuntu.