A Red Hat arra figyelmeztet, hogy az XZ Utils, a sok Linux disztribúcióban megtalálható XZ formátumú tömörítő segédprogram egy biztonsági rése egy hátsó ajtó. A felhasználóknak vagy le kell frissíteniük a segédprogramot egy biztonságosabb verzióra, vagy teljesen le kell tiltaniuk az ssh-t, hogy a hátsó ajtót ne lehessen kihasználni.
A kódbefecskendezési sebezhetőség (CVE-2024 3094-), kódot injektál a hitelesítési folyamatba, amely lehetővé teszi a rosszindulatú szereplők számára, hogy távoli hozzáférést kapjanak a rendszerhez. Red Hat tanácsában azt mondta: „KÉRJÜK, AZONNAL SZABADÍTSA LE A FEDORA NYERSBÉR PÉLDA HASZNÁLATÁT munkához vagy személyes tevékenységhez” – kiemelés az övék – egészen addig, amíg a vállalat vissza nem állította az xz verzióját 5.4.x-re, és nem adta ki a mindent. A hibához 10.0-es CVSS-pontszámot (Common Vulnerability Scoring System) rendeltek.
A hiba benne van xz verzió 5.6.0 (megjelenés: február 24.) és 5.6.1 (megjelenés: március 9.). Az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynöksége (CISA) tanácsolta a fejlesztőknek és a felhasználóknak az XZ Utils korábbi, kompromisszumok nélküli verziójára való visszaminősítéshez, mint pl XZ Utils 5.4.6 Stabil.
A következőképpen állapíthatja meg, hogy a rendszer az érintett verziót futtatja-e:
xz – verzió
Ha a kimenet azt mondja xz (XZ UTils) 5.6.1 or liblzma 5.6.1, akkor a felhasználóknak vagy alkalmazniuk kell a frissítést a disztribúciójukhoz (ha elérhető), le kell váltaniuk az xz-t, vagy egyelőre le kell tiltaniuk az ssh-t.
Bár a probléma elsősorban a Linux-disztribúciókat érinti, a jelentések szerint a MacOS egyes verzióiban futhatnak a feltört csomagok. Ha ez a helyzet, futás főzési frissítés Macen az xz-t 5.6.0-ról 5.4.6-ra kell leépíteni.
Mely Linux disztribúciók érintettek?
Bár súlyos, a hatás korlátozott lehet. A problémás kód az xz/liblzma újabb verzióiban található, így előfordulhat, hogy nem olyan széles körben elterjedt. Azok a Linux disztribúciók, amelyek még nem adták ki az újabb verziókat, kisebb valószínűséggel érintik.
Piros kalap: A sebezhető csomagok megtalálhatók a Fedora 41-ben és a Fedora Rawhide-ban. A Red Hat Enterprise Linux (RHEL) egyetlen verziója sem érinti. A Red Hat szerint a felhasználóknak azonnal abba kell hagyniuk az érintett verziók használatát, amíg a vállalatnak lehetősége nem lesz megváltoztatni az xz verziót.
SUSE: An frissítés elérhető openSUSE-hoz (Tumbleweed vagy MicroOS).
Debian Linux: A disztribúció stabil verziói nem érintettek, de a feltört csomagok a tesztelési, instabil és kísérleti verziók részét képezték. A felhasználóknak kell frissítse az xz-utils-t.
Kali Linux: Ha a rendszereket március 26. és március 29. között frissítették, akkor a felhasználóknak meg kell tenniük frissítse újra a javításhoz. Ha Kali utolsó frissítése 26. előtt volt, akkor ez a hátsó ajtó nem érinti.
Ez a lista frissül, amint más disztribúciók információkat szolgáltatnak.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils
- :van
- :is
- :nem
- 1
- 10
- 24
- 26%
- 26th
- 29
- 41
- 9
- a
- hozzáférés
- tevékenység
- tanácsadó
- érintett
- újra
- ügynökség
- lehetővé teszi, hogy
- an
- és a
- és az infrastruktúra
- bármilyen
- alkalmaz
- VANNAK
- AS
- kijelölt
- Hitelesítés
- elérhető
- hátsó ajtó
- BE
- óta
- előtt
- hogy
- között
- de
- by
- nem tud
- eset
- esély
- változik
- kód
- Közös
- vállalat
- Veszélyeztetett
- cve
- Kiberbiztonság
- telepített
- fejlesztők
- terjesztés
- disztribúció
- Visszaminősítés
- Korábban
- bármelyik
- hangsúly
- Vállalkozás
- teljesen
- kísérleti
- Hasznosított
- Február
- hibája
- A
- formátum
- ból ből
- Nyereség
- adott
- kap
- kellett
- kalap
- Legyen
- Hogyan
- How To
- HTML
- HTTPS
- if
- azonnal
- Hatás
- in
- beleértve
- információ
- Infrastruktúra
- bele
- kérdés
- IT
- ITS
- jpg
- keresztnév
- Utolsó frissítés
- kevesebb
- Valószínű
- Korlátozott
- linux
- Lista
- esőkabát
- MacOS
- rosszindulatú
- sok
- március
- Lehet..
- újabb
- nem
- of
- on
- or
- Más
- teljesítmény
- csomagok
- rész
- személyes
- Plató
- Platón adatintelligencia
- PlatoData
- be
- elsősorban
- problematikus
- folyamat
- ad
- Piros
- Red Hat
- felszabaduló
- távoli
- távoli hozzáférés
- Jelentések
- visszaállítva
- futás
- s
- biztonságosabb
- Mondott
- azt mondja,
- pontszám
- pontozás
- biztonság
- súlyos
- kellene
- So
- néhány
- ssh
- stabil
- megáll
- ilyen
- rendszer
- Systems
- mondd
- Tesztelés
- hogy
- A
- azok
- akkor
- Ott.
- ezt
- idő
- nak nek
- -ig
- Frissítések
- frissítve
- us
- Használat
- Felhasználók
- segítségével
- hasznosság
- változat
- verzió
- sebezhetőség
- Sebezhető
- figyelmeztetés
- volt
- voltak
- ami
- széles körben
- lesz
- Munka
- X
- még
- te
- zephyrnet