Компания Microsoft опубликовала подробные руководства по критической уязвимости, найденной в XZ Utils. Уязвимость с идентификатором CVE-2024-3094 получила рейтинг опасности «Критический». Она была обнаружена после компрометации цепочки поставки ПО. Инструмент XZ Utils в основном используется для сжатия данных в различных дистрибутивах Linux и важен для управления программными пакетами, образами ядра и др.
Материал Microsoft включает ключевые рекомендации для пользователей, затронутых этой уязвимостью. Компания советует перейти на безопасную версию XZ Utils, а также использовать Microsoft Defender Vulnerability Management и Microsoft Defender for Cloud.
Уязвимость была обнаружена сотрудником Microsoft Андресом Фрейндом (Andres Freund) по случайности, когда он пытался исследовать проблемы производительности с SSH на системе Debian. Фрейнд заметил необычное поведение, связанное с обновлениями XZ Utils, что привело его к обнаружению намеренно созданного бэкдора в версиях 5.6.0 и 5.6.1 XZ Utils.
Бэкдор позволяет атакующему с корректным приватным ключом эксплуатировать операции SSH, предоставляя им root-доступ к системе. Бэкдор работает через загрузчик с 5 этапами, который манипулирует процессом разрешения функций, позволяя атакующему выполнить произвольные команды удаленно.
Уязвимости подвержены следующие дистрибутивы Linux:
| Fedora Rawhide | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users |
| Fedora 41 | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users |
| Debian тестовые, нестабильные и экспериментальные дистрибутивы версий от 5.5.1alpha-0.1 до 5.6.1-1. | https://lists.debian.org/debian-security-announce/2024/msg00057.html |
| openSUSE Tumbleweed и openSUSE MicroOS | https://news.opensuse.org/2024/03/29/xz-backdoor/ |
| Kali Linux (с поддержкой Discovery) | https://www.kali.org/blog/about-the-xz-backdoor/ |
Обратите внимание, что версии Red Hat Enterprise Linux (RHEL) не затронуты. Ubuntu, один из самых популярных дистрибутивов Linux, также остается не затронутым, поскольку использует более старую версию XZ Utils 5.4.
Вы можете проверить, затронута ли ваша система Linux этой уязвимостью, следующим образом:
- Запустите команду
xz --versionв терминале, чтобы проверить версию XZ Utils, установленную на вашей системе. Если результат показывается версия 5.6.0 или 5.6.1, ваша система может быть уязвимой. - Если ваша система использует уязвимую версию XZ Utils, крайне важно немедленно обновить вашу систему, особенно если вы используете дистрибутив на основе .deb или .rpm с glibc. Дайте приоритет обновлениям, использующих systemd на общедоступных SSH-портах, чтобы минимизировать непосредственные риски.
- Если вы подозреваете, что ваша система могла быть скомпрометирована, вы также можете просмотреть журналы аудита на предмет любых аномалий, которые могут указывать на неавторизованный доступ или необычные активности.
Чтобы изучить рекомендации Microsoft и подробные часто задаваемые вопросы, вы можете посетить отдельную страницу Microsoft Tech Community.
Linux: обзоры и обновления
• Новая ОС «Альт Рабочая станция» 11.0 с GNOME 47.4 и обновленной KDE Plasma 6.3
• Arch Linux добавлен в список дистрибутивов WSL 2 для Windows
• Обновление SteamOS 3.7.4 Preview: Valve продолжает готовить систему к выпуску для других устройств
• Релиз OpenMandriva Lx 6.0: ядро Linux 6.14, KDE Plasma 6.3 и серверная редакция
• Релиз CachyOS 250422: Улучшения ядра, добавление OCCT и поддержка портативных устройств
• Обновления Linux за неделю: 14 – 20 апреля 2025 года