Компания Microsoft опубликовала подробные руководства по критической уязвимости, найденной в XZ Utils. Уязвимость с идентификатором CVE-2024-3094 получила рейтинг опасности «Критический». Она была обнаружена после компрометации цепочки поставки ПО. Инструмент XZ Utils в основном используется для сжатия данных в различных дистрибутивах Linux и важен для управления программными пакетами, образами ядра и др.
Материал Microsoft включает ключевые рекомендации для пользователей, затронутых этой уязвимостью. Компания советует перейти на безопасную версию XZ Utils, а также использовать Microsoft Defender Vulnerability Management и Microsoft Defender for Cloud.
Уязвимость была обнаружена сотрудником Microsoft Андресом Фрейндом (Andres Freund) по случайности, когда он пытался исследовать проблемы производительности с SSH на системе Debian. Фрейнд заметил необычное поведение, связанное с обновлениями XZ Utils, что привело его к обнаружению намеренно созданного бэкдора в версиях 5.6.0 и 5.6.1 XZ Utils.
Бэкдор позволяет атакующему с корректным приватным ключом эксплуатировать операции SSH, предоставляя им root-доступ к системе. Бэкдор работает через загрузчик с 5 этапами, который манипулирует процессом разрешения функций, позволяя атакующему выполнить произвольные команды удаленно.
Уязвимости подвержены следующие дистрибутивы Linux:
Fedora Rawhide | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users |
Fedora 41 | https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users |
Debian тестовые, нестабильные и экспериментальные дистрибутивы версий от 5.5.1alpha-0.1 до 5.6.1-1. | https://lists.debian.org/debian-security-announce/2024/msg00057.html |
openSUSE Tumbleweed и openSUSE MicroOS | https://news.opensuse.org/2024/03/29/xz-backdoor/ |
Kali Linux (с поддержкой Discovery) | https://www.kali.org/blog/about-the-xz-backdoor/ |
Обратите внимание, что версии Red Hat Enterprise Linux (RHEL) не затронуты. Ubuntu, один из самых популярных дистрибутивов Linux, также остается не затронутым, поскольку использует более старую версию XZ Utils 5.4.
Вы можете проверить, затронута ли ваша система Linux этой уязвимостью, следующим образом:
- Запустите команду
xz --version
в терминале, чтобы проверить версию XZ Utils, установленную на вашей системе. Если результат показывается версия 5.6.0 или 5.6.1, ваша система может быть уязвимой. - Если ваша система использует уязвимую версию XZ Utils, крайне важно немедленно обновить вашу систему, особенно если вы используете дистрибутив на основе .deb или .rpm с glibc. Дайте приоритет обновлениям, использующих systemd на общедоступных SSH-портах, чтобы минимизировать непосредственные риски.
- Если вы подозреваете, что ваша система могла быть скомпрометирована, вы также можете просмотреть журналы аудита на предмет любых аномалий, которые могут указывать на неавторизованный доступ или необычные активности.
Чтобы изучить рекомендации Microsoft и подробные часто задаваемые вопросы, вы можете посетить отдельную страницу Microsoft Tech Community.
Linux: обзоры и обновления
• Релиз Manjaro 24.2: Что нового
• Анонсирован Wine 10.0-rc1: улучшения для поддержки DirectX 12 и новый драйвер Bluetooth
• Valve работает над новой Steam Machine?
• Обновление NVIDIA Graphics Driver 565.77 Beta для Linux
• Mozilla ускоряет загрузку и установку Firefox в Linux
• Поддержка графики Xe2 для Intel Lunar Lake и Battlemage включена в Linux 6.12 по умолчанию