XZは、不正なリモートシステムへのアクセスを許可する可能性のあるマルウェアに感染しています。

Red Hatは本日、XZを通じてFedora 41とFedora Rawhideユーザーを対象に「緊急セキュリティ警告」を発表しました。 はい、これは圧縮形式のXZツールとライブラリです。 不正なリモートシステムアクセスを許可する可能性のあるマルウェアがXZ 5.6.0/5.6.1に追加されました。

Red Hatはコードベースにマルウェアを生成するため、このXZセキュリティの脆弱性についてCVE-2024-3094を引用します。 まだCVE-2024-3094が公開されているのを見たことはありませんが、Red Hatのセキュリティ警告は次のようにまとめられています。

「xz バージョン 5.6.0 および 5.6.1 ライブラリに存在する悪意のあるインジェクションは難読化されており、ダウンロードパッケージのみが完全に含まれています。Git ディストリビューションにはマルウェアのビルドをトリガーする M4 マクロはありません。存在する場合は、ビルド時間中に注入用のGitリポジトリに存在します。

結果として生じる悪意のあるビルドは、systemdによるsshdの認証を妨げます。 SSHはシステムへのリモート接続に一般的に使用されるプロトコルであり、sshdはアクセスを許可するサービスです。 正しい状況では、これらの干渉により、潜在的に悪意のある行為者がSSHD認証を破り、リモートでシステム全体への不正アクセスを得る可能性があります」

あや！ XZ 5.6は1ヶ月前にデビューし、XZ 5.6.1は3週間前にリリースされました。 執筆時点でマルウェアが削除されたXZ 5.6.2または同様のリリースバージョンはまだありません。

緊急 Red Hat 警告は、次のように確認できます。 Red Hat ブログ。 Debianも同様のことを発表しました。 セキュリティメッセージ XZユーティリティ内のマルウェアを介して。

簡単に言えば、現在のシステムにXZ 5.6.0/5.6.1がないことを確認してください。

アップデート： 追加情報は現在 OSSセキュリティリスト Andres Freundの発見によって。