Затронул ли вас бэкдор в XZ Utils?

Red Hat предупреждает, что уязвимость в XZ Utils, утилите сжатия формата XZ, включенной во многие дистрибутивы Linux, является бэкдором. Пользователям следует либо понизить версию утилиты до более безопасной версии, либо полностью отключить ssh, чтобы исключить возможность использования бэкдора.

Уязвимость внедрения кода (CVE-2024-3094), внедряет код в процесс аутентификации, который позволяет злоумышленнику получить удаленный доступ к системе. Red Hat говорится в своем сообщении «ПОЖАЛУЙСТА, НЕМЕДЛЕННО ПРЕКРАТИТЕ ИСПОЛЬЗОВАНИЕ ЛЮБЫХ ЭКЗЕМПЛЯРОВ FEDORA RAWHIDE. для работы или личной деятельности», — подчеркивают они, — пока компания не вернула свою версию xz на 5.4.x и не дала «все ясно». Уязвимости присвоен рейтинг CVSS (Common Vulnerability Scoring System) 10.0.

Недостаток присутствует в хз версии 5.6.0 (выпущено 24 февраля) и 5.6.1 (выпущено 9 марта). Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) консультировал разработчиков и пользователей понизить версию XZ Utils до более ранней, бескомпромиссной версии, например XZ Utils 5.4.6 Стабильная.

Вот как узнать, работает ли в системе уязвимая версия:

xz – версия

Если вывод говорит xz (XZ UTils) 5.6.1 or либлзма 5.6.1, то пользователям следует либо применить обновление для своего дистрибутива (если оно доступно), понизить версию xz или на время отключить ssh.

Хотя проблема в первую очередь затрагивает дистрибутивы Linux, есть сообщения, что в некоторых версиях MacOS могут использоваться скомпрометированные пакеты. Если это так, запуск варить апгрейд на Mac следует понизить версию xz с 5.6.0 до 5.4.6.

Какие дистрибутивы Linux затронуты?

Несмотря на серьезность, воздействие может быть ограниченным. Проблемный код находится в более новых версиях xz/liblzma, поэтому он может быть не так широко распространен. Дистрибутивы Linux, в которых еще не выпущены новые версии, подвержены риску с меньшей вероятностью.

Красная Шапка: Уязвимые пакеты присутствуют в Fedora 41 и Fedora Rawhide. Никакие версии Red Hat Enterprise Linux (RHEL) не затронуты. Red Hat заявляет, что пользователи должны немедленно прекратить использование затронутых версий, пока у компании не будет возможности изменить версию xz.

СЬЮЗ: An доступно обновление для openSUSE (Tumbleweed или MicroOS).

Дебиан Линукс: Никакие стабильные версии дистрибутива не затрагиваются, но скомпрометированные пакеты входили в состав тестовых, нестабильных и экспериментальных версий. Пользователи должны обновить xz-utils.

Kali Linux: Если системы были обновлены в период с 26 по 29 марта, пользователям следует обновите еще раз, чтобы получить исправление. Если последнее обновление Kali было до 26-го, этот бэкдор на него не влияет.

Этот список будет обновляться по мере предоставления информации из других дистрибутивов.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils