Η Red Hat προειδοποιεί ότι μια ευπάθεια στο XZ Utils, το βοηθητικό πρόγραμμα συμπίεσης μορφής XZ που περιλαμβάνεται σε πολλές διανομές Linux είναι μια κερκόπορτα. Οι χρήστες θα πρέπει είτε να υποβαθμίσουν το βοηθητικό πρόγραμμα σε ασφαλέστερη έκδοση είτε να απενεργοποιήσουν πλήρως το ssh, ώστε να μην είναι δυνατή η εκμετάλλευση του backdoor.
Η ευπάθεια εισαγωγής κώδικα (CVE-2024-3094), εισάγει κώδικα στη διαδικασία ελέγχου ταυτότητας που επιτρέπει σε κακόβουλο παράγοντα να αποκτήσει απομακρυσμένη πρόσβαση στο σύστημα. Red Hat είπε στη συμβουλή του προς «ΠΑΡΑΚΑΛΩ ΣΤΑΜΑΤΗΣΤΕ ΑΜΕΣΩΣ ΤΗ ΧΡΗΣΗ ΤΩΝ ΠΕΡΙΠΤΩΣΕΩΝ FEDORA RAWHIDE για εργασία ή προσωπική δραστηριότητα» — η έμφαση δική τους — έως ότου η εταιρεία επανέφερε την έκδοση xz σε 5.4.x και έδωσε το all-clear. Στο ελάττωμα έχει εκχωρηθεί βαθμολογία CVSS (Common Vulnerability Scoring System) 10.0.
Το ελάττωμα υπάρχει σε xz εκδόσεις 5.6.0 (κυκλοφόρησε 24 Φεβρουαρίου) και 5.6.1 (κυκλοφόρησε 9 Μαρτίου). Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) συμβούλευσε τους προγραμματιστές και τους χρήστες για να υποβαθμίσετε το XZ Utils σε παλαιότερη έκδοση χωρίς συμβιβασμούς, όπως π.χ XZ Utils 5.4.6 Σταθερό.
Δείτε πώς μπορείτε να διαπιστώσετε εάν το σύστημα εκτελεί την επηρεαζόμενη έκδοση:
xz – έκδοση
Αν λέει η έξοδος xz (XZ UTils) 5.6.1 or liblzma 5.6.1, τότε οι χρήστες θα πρέπει είτε να εφαρμόσουν την ενημέρωση για τη διανομή τους (εάν είναι διαθέσιμη), να υποβαθμίσουν το xz ή να απενεργοποιήσουν το ssh προς το παρόν.
Ενώ το ζήτημα επηρεάζει κυρίως τις διανομές Linux, υπάρχουν αναφορές ότι ορισμένες εκδόσεις του MacOS ενδέχεται να εκτελούν τα παραβιασμένα πακέτα. Αν ισχύει αυτό, τρέξιμο αναβάθμιση παρασκευής στο Mac θα πρέπει να υποβαθμίσει το xz από 5.6.0 σε 5.4.6.
Ποιες διανομές Linux επηρεάζονται;
Αν και είναι σοβαρό, ο αντίκτυπος μπορεί να είναι περιορισμένος. Ο προβληματικός κώδικας βρίσκεται στις νεότερες εκδόσεις του xz/liblzma, επομένως ενδέχεται να μην είναι τόσο ευρέως διαδεδομένος. Οι διανομές Linux που δεν έχουν ακόμη κυκλοφορήσει τις νεότερες εκδόσεις είναι λιγότερο πιθανό να επηρεαστούν.
Κόκκινο καπέλο: Ευάλωτα πακέτα υπάρχουν στο Fedora 41 και στο Fedora Rawhide. Δεν επηρεάζονται εκδόσεις του Red Hat Enterprise Linux (RHEL). Η Red Hat λέει ότι οι χρήστες θα πρέπει να σταματήσουν αμέσως να χρησιμοποιούν τις επηρεαζόμενες εκδόσεις έως ότου η εταιρεία έχει την ευκαιρία να αλλάξει την έκδοση xz.
SUSE: An η ενημέρωση είναι διαθέσιμη για το openSUSE (Tumbleweed ή MicroOS).
Debian Linux: Δεν επηρεάζονται σταθερές εκδόσεις της διανομής, αλλά τα παραβιασμένα πακέτα ήταν μέρος των δοκιμαστικών, ασταθών και πειραματικών εκδόσεων. Οι χρήστες θα πρέπει ενημέρωση xz-utils.
Kali Linux: Εάν τα συστήματα ενημερώθηκαν μεταξύ 26 Μαρτίου και 29 Μαρτίου, τότε οι χρήστες θα έπρεπε ενημερώστε ξανά για να λάβετε την επιδιόρθωση. Εάν η τελευταία ενημέρωση του Kali ήταν πριν από τις 26, δεν επηρεάζεται από αυτήν την κερκόπορτα.
Αυτή η λίστα θα ενημερωθεί καθώς άλλες διανομές παρέχουν πληροφορίες.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils
- :έχει
- :είναι
- :δεν
- 1
- 10
- 24
- 26%
- 26
- 29
- 41
- 9
- a
- πρόσβαση
- δραστηριότητα
- συμβουλευτικός
- επηρεαστούν
- πάλι
- πρακτορείο
- επιτρέπει
- an
- και
- και την υποδομή
- κάθε
- Εφαρμογή
- ΕΙΝΑΙ
- AS
- ανατεθεί
- Πιστοποίηση
- διαθέσιμος
- κερκόπορτα
- BE
- ήταν
- πριν
- είναι
- μεταξύ
- αλλά
- by
- δεν μπορώ
- περίπτωση
- ευκαιρία
- αλλαγή
- κωδικός
- Κοινός
- εταίρα
- Συμβιβασμένος
- CVE
- Κυβερνασφάλεια
- αναπτυχθεί
- προγραμματιστές
- διανομή
- Διανομές
- Κατηφορικός
- Νωρίτερα
- είτε
- έμφαση
- Εταιρεία
- εξ ολοκλήρου
- πειραματικός
- Κακοποιημένα
- Φεβρουάριος
- ελάττωμα
- Για
- μορφή
- από
- Κέρδος
- έδωσε
- παίρνω
- είχε
- καπέλο
- Έχω
- Πως
- Πώς να
- HTML
- HTTPS
- if
- αμέσως
- Επίπτωση
- in
- περιλαμβάνονται
- πληροφορίες
- Υποδομή
- σε
- ζήτημα
- IT
- ΤΟΥ
- jpg
- Επίθετο
- τελευταία ενημέρωση
- μείον
- Πιθανός
- Περιωρισμένος
- linux
- Λιστα
- mac
- MacOS
- κακόβουλο
- πολοί
- Μάρτιος
- Ενδέχεται..
- νεότερα
- Όχι.
- of
- on
- or
- ΑΛΛΑ
- παραγωγή
- Packages
- μέρος
- προσωπικός
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- παρόν
- πρωτίστως
- προβληματικός
- διαδικασια μας
- παρέχουν
- Red
- Red Hat
- κυκλοφόρησε
- μακρινός
- απομακρυσμένη πρόσβαση
- Εκθέσεις
- επανήλθε
- τρέξιμο
- s
- Ασφαλέστερο
- Είπε
- λέει
- σκορ
- βαθμολόγησης
- ασφάλεια
- σοβαρός
- θα πρέπει να
- So
- μερικοί
- ssh
- σταθερός
- στάση
- τέτοιος
- σύστημα
- συστήματα
- πει
- Δοκιμές
- ότι
- Η
- τους
- τότε
- Εκεί.
- αυτό
- ώρα
- προς την
- μέχρι
- Ενημέρωση
- ενημερώθηκε
- us
- Χρήση
- Χρήστες
- χρησιμοποιώντας
- χρησιμότητα
- εκδοχή
- εκδόσεις
- ευπάθεια
- Ευάλωτες
- προειδοποίηση
- ήταν
- ήταν
- Ποιό
- ευρέως
- θα
- Εργασία
- X
- ακόμη
- Εσείς
- zephyrnet