تحذر Red Hat من أن الثغرة الأمنية في XZ Utils، وهي أداة ضغط تنسيق XZ المضمنة في العديد من توزيعات Linux، هي بمثابة باب خلفي. يجب على المستخدمين إما الرجوع إلى إصدار أقدم من الأداة المساعدة إلى إصدار أكثر أمانًا أو تعطيل ssh بالكامل حتى لا يتم استغلال الباب الخلفي.
ثغرة حقن الكود (CVE-2024-3094)، يقوم بإدخال التعليمات البرمجية في عملية المصادقة التي تسمح للممثل الخبيث بالوصول عن بعد إلى النظام. ريد هات وقال في استشارته "يرجى التوقف فورًا عن استخدام أي مثيلات FEDORA RAWHIDE للعمل أو النشاط الشخصي" - التركيز عليهم - حتى أعادت الشركة إصدار xz إلى 5.4.x وأعطت الموافقة الكاملة. تم منح الثغرة درجة CVSS (نظام تسجيل نقاط الضعف الشائعة) وهي 10.0.
الخلل موجود في إصدارات xz 5.6.0 (تم إصداره في 24 فبراير) و5.6.1 (تم إصداره في 9 مارس). وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) نصح المطورين والمستخدمين لإرجاع XZ Utils إلى إصدار سابق غير منقوص، مثل XZ Utils 5.4.6 مستقر.
فيما يلي كيفية معرفة ما إذا كان النظام يقوم بتشغيل الإصدار المتأثر:
xz – الإصدار
إذا كان الإخراج يقول xz (XZ Utils) 5.6.1 or ليبلزما 5.6.1، فيجب على المستخدمين إما تطبيق التحديث لتوزيعهم (إذا كان متاحًا)، أو تقليل إصدار xz، أو تعطيل ssh في الوقت الحالي.
على الرغم من أن المشكلة تؤثر بشكل أساسي على توزيعات Linux، إلا أن هناك تقارير تفيد بأن بعض إصدارات MacOS قد تقوم بتشغيل الحزم المخترقة. إذا كان هذا هو الحال، تشغيل ترقية الشراب على نظام التشغيل Mac، يجب الرجوع إلى إصدار xz من 5.6.0 إلى 5.4.6.
ما هي توزيعات Linux المتأثرة؟
وعلى الرغم من خطورته، إلا أن التأثير قد يكون محدودًا. الكود الإشكالي موجود في الإصدارات الأحدث من xz/liblzma، لذا قد لا يكون منتشرًا على نطاق واسع. من غير المرجح أن تتأثر توزيعات Linux التي لم تصدر الإصدارات الأحدث بعد.
قبعة حمراء: الحزم الضعيفة موجودة في Fedora 41 وFedora Rawhide. لم تتأثر أي إصدارات من Red Hat Enterprise Linux (RHEL). تقول Red Hat إنه يجب على المستخدمين التوقف فورًا عن استخدام الإصدارات المتأثرة حتى تتاح للشركة فرصة تغيير إصدار xz.
سوس: An يتوفر التحديث لـ openSUSE (Tumbleweed أو MicroOS).
ديبيان لينكس: لم تتأثر أي إصدارات مستقرة من التوزيعة، ولكن الحزم المخترقة كانت جزءًا من الإصدارات التجريبية وغير المستقرة. يجب على المستخدمين تحديث xz-utils.
كالي لينكس: إذا تم تحديث الأنظمة في الفترة ما بين 26 و29 مارس، فيجب على المستخدمين ذلك التحديث مرة أخرى للحصول على الإصلاح. إذا كان آخر تحديث لـ Kali قبل يوم 26، فلن يتأثر بهذا الباب الخلفي.
سيتم تحديث هذه القائمة عندما توفر التوزيعات الأخرى المعلومات.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils
- :لديها
- :يكون
- :ليس
- 1
- 10
- 24
- 26%
- المرتبة الرابعة
- 29
- 41
- 9
- a
- الوصول
- نشاط
- استشاري
- تتأثر
- مرة أخرى
- وكالة
- يسمح
- an
- و
- والبنية التحتية
- أي وقت
- التقديم
- هي
- AS
- تعيين
- التحقّق من المُستخدم
- متاح
- الباب الخلفي
- BE
- كان
- قبل
- يجري
- ما بين
- لكن
- by
- لا تستطيع
- حقيبة
- فرصة
- تغيير
- الكود
- مشترك
- حول الشركة
- تسوية
- CVE
- الأمن السيبراني
- نشر
- المطورين
- توزيع
- التوزيعات
- الإنحدار
- في وقت سابق
- إما
- تشديد
- مشروع
- تماما
- تجريبي
- استغلال
- فبراير
- عيب
- في حالة
- شكل
- تبدأ من
- ربح
- أعطى
- دولار فقط واحصل على خصم XNUMX% على جميع
- كان
- قبعة
- يملك
- كيفية
- كيفية
- HTML
- HTTPS
- if
- فورا
- التأثير
- in
- شامل
- معلومات
- البنية التحتية
- إلى
- قضية
- IT
- انها
- JPG
- اسم العائلة
- آخر تحديث
- أقل
- على الأرجح
- محدود
- لينكس
- قائمة
- لجنة الهدنة العسكرية
- ماك
- خبيث
- كثير
- مارس
- مايو..
- أحدث
- لا
- of
- on
- or
- أخرى
- الناتج
- حزم
- جزء
- الشخصية
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- يقدم
- في المقام الأول
- إشكالية
- عملية المعالجة
- تزود
- أحمر
- ريد هات
- صدر
- عن بعد
- الوصول عن بعد
- التقارير
- عادت
- تشغيل
- s
- أكثر أمانا
- قال
- يقول
- أحرز هدفاً
- النقاط
- أمن
- جدي
- ينبغي
- So
- بعض
- سه
- مستقر
- قلة النوم
- هذه
- نظام
- أنظمة
- اقول
- الاختبار
- أن
- •
- من مشاركة
- then
- هناك.
- الوقت
- إلى
- حتى
- تحديث
- تحديث
- us
- الأستعمال
- المستخدمين
- استخدام
- سهل حياتك
- الإصدار
- الإصدارات
- الضعف
- الضعيفة
- تحذير
- وكان
- كان
- التي
- على نحو واسع
- سوف
- للعمل
- X
- حتى الآن
- أنت
- زفيرنت
