Linux データ圧縮ライブラリで CVE-2024-3094 脆弱性 (XZ バックドア) が発見されました

Red Hatは金曜日、広く使用されているデータ圧縮ツールXZ Utils（以前はLZMA Utilsとして知られていた）の2つのバージョンに関して、不正なリモートアクセスを目的とした悪意のあるコードによって侵害されたことに関して緊急セキュリティ勧告を発行した。

このセキュリティ欠陥は CVE-2024-3094 として特定され、重大度スコア 10.0 と評価されており、XZ Utils バージョン 5.6.0 (2 月 24 日にリリース) および 5.6.1 (3 月 9 日にリリース) に影響します。

Red Hat によると、liblzma ライブラリ内の侵害されたコードは、ビルド中に複雑なプロセスを介して挿入され、データ相互作用の傍受と変更が可能になります。具体的には、このコードは systemd ソフトウェア スイート内の sshd デーモン プロセスを改ざんし、特定の条件下でシステムへの不正アクセスを可能にすることを目的としています。

バックドアにより SSH 経由の任意のペイロードが可能になる

JFrog が特定したこのバックドアの最終的な目的は、OpenSSH サーバー (SSHD) にコードを挿入して、特定の秘密キーを持つ特定のリモート攻撃者が認証前に SSH 経由で任意のペイロードを実行できるようにし、実質的に被害者のマシンを制御することです。

この問題は、Microsoft のセキュリティ研究者 Andres Freund によって明らかになりました。彼は、Jia Tan (JiaT75) という名前のユーザーによる Tukaani プロジェクトの GitHub リポジトリへの一連のコミットを通じて導入された、高度に難読化された悪意のあるコードを特定しました。

Microsoft が所有する GitHub は、サービス利用規約に違反したため、XZ Utils リポジトリを無効にするという措置を講じました。現時点では、実際の環境で積極的に悪用された例は報告されていません。

影響を受けるパッケージは Fedora 41 と Fedora Rawhide でのみ見つかっており、Alpine Linux、Amazon Linux、Debian Stable、Gentoo Linux、Linux Mint、Red Hat Enterprise Linux (RHEL)、SUSE Linux Enterprise、Leap などの他のディストリビューションには影響しません。 、Ubuntu。