Архив метки: liblzma

Обновление по бэкдору в XZ Utils (CVE-2024–3094)

Добавить комментарий

Обновление по бэкдору в XZ Utils (CVE-2024-3094)

Обновление по бэкдору в XZ Utils (CVE-2024–3094).

В постах Ten­able и Qualys обновился список уязвимых дистрибов:

🔻 Fedo­ra Rawhide
🔻 Fedo­ra 40 Beta
🔻 Fedo­ra 41
🔻 Debian test­ing, unsta­ble and exper­i­men­tal dis­tri­b­u­tions ver­sions 5.5.1alpha‑0.1 to 5.6.1–1.
🔻 open­SUSE Tum­ble­weed and open­SUSE MicroOS (забэкдоренный пакет был включен между 7 и 28 марта)
🔻 Kali Lin­ux (xz-utils 5.6.0–0.2 между 26 и 28 марта)
🔻 Alpine (5.6.0 5.6.0‑r0 5.6.0‑r1 5.6.1 5.6.1‑r0 5.6.1‑r1)
🔻 Arch Lin­ux (details)

И список неуязвимых дистрибов:

🔹 Fedo­ra Lin­ux 40
🔹 Red Hat Enter­prise Lin­ux (RHEL)
🔹 Debian Sta­ble
🔹 Ama­zon Lin­ux
🔹 SUSE Lin­ux Enter­prise and Leap
🔹 Gen­too Lin­ux
🔹 Ubun­tu

Есть YARA правило для детекта.

upd. 0704

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024–3094)

Добавить комментарий

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094)

Прочитал прикольный FAQ от Ten­able про бэкдор в XZ Utils (CVE-2024–3094).

"По мнению Red Hat, вредоносный код изменяет функции кода liblz­ma, который является частью пакета XZ Utils. Этот модифицированный код затем может использоваться любым программным обеспечением, связанным с библиотекой XZ, и позволяет перехватывать и изменять данные, используемые с библиотекой. В примере, рассмотренном Фройндом [исследователь, который нашёл бэкдор], при определенных условиях этот бэкдор может позволить злоумышленнику «нарушить аутентификацию sshd», позволяя злоумышленнику получить доступ к уязвимой системе." 😱

Пока известно, что эти дистрибы точно уязвимы:

🔻 Fedo­ra Rawhide
🔻 Fedo­ra 41
🔻 Debian test­ing, unsta­ble and exper­i­men­tal dis­tri­b­u­tions ver­sions 5.5.1alpha‑0.1 to 5.6.1–1.

А эти точно неуязвимы:

🔹 Fedo­ra Lin­ux 40
🔹 Red Hat Enter­prise Lin­ux (RHEL)
🔹 Debian Sta­ble

Ссылка на исходное сообщение исследователя.

Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024–3094)

Добавить комментарий

Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024-3094)

Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024–3094). XZ Utils — это набор утилит-архиваторов, который может присутствовать в дистрибутивах Lin­ux. Вредоносный код может обеспечить несанкционированный доступ к затронутым системам. 🤷‍♂️ Норм так ушли на выходные называется. 😅

CISA рекомендует откатываться на 5.4.6 Sta­ble.

Проверил на своей Ubun­tu 23.10, что xz-utils здесь древнючие, версии 5.4.1–0.2. Живём. 🙂 RHEL‑ы тоже не задеты.

Стоит ли такие инциденты заводить как CVE? Наверное всё же да. Потому что "Com­mon Vul­ner­a­bil­i­ties and Expo­sures". Может это и не уязвимость, но точно экспозиция.

Интересно сколько подобных бэкдоров остаются незамеченными… 🙄