کیا آپ XZ Utils میں بیک ڈور سے متاثر ہیں؟

Red Hat انتباہ کر رہا ہے کہ XZ Utils میں ایک کمزوری، XZ فارمیٹ کمپریشن یوٹیلیٹی جو کہ بہت سی لینکس ڈسٹری بیوشنز میں شامل ہے ایک بیک ڈور ہے۔ صارفین کو یا تو یوٹیلیٹی کو ایک محفوظ ورژن میں ڈاؤن گریڈ کرنا چاہیے یا ssh کو مکمل طور پر غیر فعال کر دینا چاہیے تاکہ بیک ڈور کا استحصال نہ ہو سکے۔

کوڈ انجیکشن کی کمزوری (CVE-2024-3094)، توثیق کے عمل میں کوڈ داخل کرتا ہے جو نقصان دہ اداکار کو سسٹم تک ریموٹ رسائی حاصل کرنے کی اجازت دیتا ہے۔ ریڈ ہیٹ اپنی ایڈوائزری میں کہا کہ "براہ کرم کسی بھی فیڈورا RAWHIDE مثالوں کا استعمال فوری طور پر بند کر دیں۔ کام یا ذاتی سرگرمی کے لیے" — زور ان پر — جب تک کہ کمپنی نے اپنے xz ورژن کو 5.4.x پر واپس نہیں کر دیا اور تمام واضح کر دیا۔ اس خامی کو 10.0 کا CVSS (Common Vulnerability Scoring System) اسکور تفویض کیا گیا ہے۔

میں خامی موجود ہے۔ xz ورژن 5.6.0 (24 فروری کو جاری کیا گیا) اور 5.6.1 (9 مارچ کو جاری کیا گیا)۔ یو ایس سائبر سیکیورٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (CISA) ڈویلپرز اور صارفین کو مشورہ دیا XZ Utils کو ایک پرانے، غیر سمجھوتہ شدہ ورژن میں ڈاؤن گریڈ کرنے کے لیے، جیسے XZ Utils 5.4.6 مستحکم.

یہاں یہ بتانے کا طریقہ ہے کہ آیا سسٹم متاثرہ ورژن چلا رہا ہے:

xz - ورژن

اگر آؤٹ پٹ کہتا ہے۔ xz (XZ UTils) 5.6.1 or liblzma 5.6.1، پھر صارفین کو یا تو اپنی تقسیم کے لیے اپ ڈیٹ کا اطلاق کرنا چاہیے (اگر دستیاب ہو)، xz کو ڈاؤن گریڈ کریں، یا فی الحال ssh کو غیر فعال کریں۔

اگرچہ یہ مسئلہ بنیادی طور پر لینکس کی تقسیم کو متاثر کرتا ہے، لیکن ایسی اطلاعات ہیں کہ MacOS کے کچھ ورژن سمجھوتہ شدہ پیکجز چلا رہے ہیں۔ اگر ایسا ہے تو، چل رہا ہے پک اپ گریڈ میک پر xz کو 5.6.0 سے 5.4.6 تک ڈاؤن گریڈ کرنا چاہئے۔

کون سے لینکس ڈسٹرو متاثر ہیں؟

سنگین ہونے کے باوجود، اثر محدود ہو سکتا ہے۔ پریشانی والا کوڈ xz/liblzma کے نئے ورژن میں ہے، اس لیے یہ اتنا وسیع پیمانے پر تعینات نہیں ہوسکتا ہے۔ لینکس کی تقسیم جنہوں نے ابھی تک نئے ورژن جاری نہیں کیے ہیں ان کے متاثر ہونے کا امکان کم ہے۔

لال ٹوپی: Fedora 41 اور Fedora Rawhide میں کمزور پیکجز موجود ہیں۔ Red Hat Enterprise Linux (RHEL) کا کوئی ورژن متاثر نہیں ہوا ہے۔ Red Hat کا کہنا ہے کہ صارفین کو فوری طور پر متاثرہ ورژن کا استعمال بند کر دینا چاہیے جب تک کہ کمپنی کو xz ورژن کو تبدیل کرنے کا موقع نہ مل جائے۔

سوس: An اپ ڈیٹ دستیاب ہے OpenSUSE (Tumbleweed یا MicroOS) کے لیے۔

ڈیبین لینکس: تقسیم کے کوئی مستحکم ورژن متاثر نہیں ہوتے ہیں، لیکن سمجھوتہ شدہ پیکجز ٹیسٹنگ، غیر مستحکم اور تجرباتی ورژن کا حصہ تھے۔ صارفین کو چاہئے xz-utils کو اپ ڈیٹ کریں۔.

کیلی لینکس: اگر سسٹمز کو 26 مارچ اور 29 مارچ کے درمیان اپ ڈیٹ کیا گیا تھا، تو صارفین کو چاہیے کہ درست کرنے کے لیے دوبارہ اپ ڈیٹ کریں۔. اگر کالی کی آخری تازہ کاری 26 تاریخ سے پہلے تھی، تو یہ اس بیک ڈور سے متاثر نہیں ہوتی ہے۔

اس فہرست کو اپ ڈیٹ کیا جائے گا کیونکہ دیگر تقسیم معلومات فراہم کرتی ہیں۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils