Red Hat hat heute über XZ eine „dringende Sicherheitswarnung“ für Benutzer von Fedora 41 und Fedora Rawhide herausgegeben. Ja, XZ-Tools und -Bibliotheken für dieses Komprimierungsformat. Zu XZ 5.6.0/5.6.1 wurde schädlicher Code hinzugefügt, der möglicherweise unbefugten Remote-Systemzugriff ermöglicht.
Red Hat nennt CVE-2024-3094 für diese XZ-Schwachstelle aufgrund des Vorhandenseins von Schadcode in der Codebasis. Ich habe noch nicht gesehen, dass CVE-2024-3094 öffentlich angekündigt wurde, aber die Sicherheitswarnung von Red Hat fasst es so zusammen:
„Die in den xz 5.6.0- und 5.6.1-Bibliotheken gefundene bösartige Injektion wurde verschleiert und ist nur vollständig im Download-Paket enthalten – der Git-Distribution fehlt das M4-Makro, das den bösartigen Code generiert. Die Injektion ist im Git-Repository vorhanden.“ während der Erstellungszeit, falls ein schädliches M4-Makro vorhanden ist.
Der resultierende bösartige Build stört die Authentifizierung in sshd über systemd. SSH ist ein häufig verwendetes Protokoll für die Fernverbindung zu Systemen, und sshd ist der Dienst, der den Zugriff ermöglicht. Unter den richtigen Umständen könnte dieser Eingriff es einem böswilligen Akteur ermöglichen, die SSL-Authentifizierung zu brechen und sich aus der Ferne unbefugten Zugriff auf das gesamte System zu verschaffen.“
Oh! XZ 5.6 kam vor einem Monat auf den Markt und XZ 5.6.1 wurde vor drei Wochen veröffentlicht. Zum Zeitpunkt des Verfassens dieses Artikels ist XZ 5.6.2 oder ähnlich noch nicht verfügbar, nachdem der Schadcode entfernt wurde.
Die Flash-Warnung von Red Hat finden Sie unter Red Hat-Blog. Debian hat auch eine ähnliche Version veröffentlicht Sicherheitsmeldung Über bösartigen Code in XZ Tools.
Kurz gesagt: Stellen Sie sicher, dass XZ 5.6.0/5.6.1 derzeit nicht auf Ihren Systemen installiert ist.
aktualisieren: Weitere Informationen finden Sie ab sofort unter OSS-Sicherheitsliste Mit der Entdeckung von Anders Freund.
„Webspezialist. Lebenslanger Zombie-Experte. Kaffee-Ninja. Hipster-freundlicher Analyst.“
More Stories
Der Community-Manager von Helldivers 2 scheint entlassen worden zu sein, nachdem er zu negativen Kritiken über das jetzt aufgehobene PSN-Mandat ermutigt hatte: „Ich wusste, dass ich riskierte, was ich sagte.“
Die neuen iPads von 2024 haben immer noch eine Akkulaufzeit von bis zu 10 Stunden
Eine neue Studie legt nahe, dass „Warp-Antriebe“ eines Tages möglich sein könnten