CVE-2024-3094 pažeidžiamumas (XZ Backdoor) aptiktas Linux duomenų glaudinimo bibliotekoje

„Red Hat“ penktadienį paskelbė skubų saugumo įspėjimą dėl dviejų plačiai naudojamų duomenų glaudinimo įrankio „XZ Utils“, anksčiau žinomo kaip „LZMA Utils“, versijų, kurios buvo pažeistos kenkėjišku kodu, skirtu neteisėtai nuotolinei prieigai.

Saugos trūkumas, identifikuotas kaip CVE-2024-3094 ir įvertintas 10.0 sunkumo balu, turi įtakos XZ Utils 5.6.0 (išleistas vasario 24 d.) ir 5.6.1 (išleistas kovo 9 d.) versijoms.

„Red Hat“ teigimu, pažeistas kodas „liblzma“ bibliotekoje įvedamas sudėtingu procesu kūrimo metu, leidžiantis perimti ir keisti duomenų sąveiką. Konkrečiai kalbant, kodu siekiama sugadinti sshd demono procesą sistemos programinės įrangos pakete, tam tikromis sąlygomis galimai suteikiant neteisėtą prieigą prie sistemos.

Užpakalinės durys leidžia savavališkai apkrauti SSH

Galutinis šių užpakalinių durų tikslas, kaip nustatė JFrog, yra įvesti kodą į OpenSSH serverį (SSHD), kad konkretūs nuotoliniai užpuolikai, turintys tam tikrą privatų raktą, galėtų vykdyti savavališkus naudingus krovinius per SSH prieš autentifikavimą, iš esmės perimant aukos kompiuterio valdymą.

Šią problemą iškėlė „Microsoft“ saugumo tyrinėtojas Andresas Freundas, kuris nustatė labai užmaskuotą kenkėjišką kodą, kurį vartotojas vardu Jia Tan (JiaT75) įnešė į Tukaani projekto GitHub saugyklą.

„Microsoft“ priklausanti „GitHub“ ėmėsi veiksmų išjungdama „XZ Utils“ saugyklą dėl jos paslaugų teikimo sąlygų pažeidimo. Iki šiol nebuvo pranešta apie aktyvaus išnaudojimo laukinėje gamtoje atvejus.

Paveikti paketai buvo rasti tik „Fedora 41“ ir „Fedora Rawhide“, bet neturi įtakos kitiems platinimams, tokiems kaip „Alpine Linux“, „Amazon Linux“, „Debian Stable“, „Gentoo Linux“, „Linux Mint“, „Red Hat Enterprise Linux“ (RHEL), „SUSE Linux Enterprise“ ir „Leap“. , ir Ubuntu.