En kritisk sårbarhet har identifierats i XZ Utils, vilket är en viktig samling verktyg för hantering av komprimerade filer i XZ-formatet, ett format som används bredvid inom olika Linux-distributioner. Denna säkerhetsbrist, betecknad som CVE-2024-3094, gör det möjligt för obehöriga att fjärrstyra system genom att kringgå SSH-autentisering, vilket ger dem full kontroll över de drabbade systemen.
De versioner som påverkas är 5.6.0 och 5.6.1 av xz-biblioteken, där skadlig kod har införts. Denna kod tillåter en angripare att diskret ta sig in i systemet. Upptäckten gjordes av Andres Freund, en utvecklare för PostgreSQL och mjukvaruingenjör vid Microsoft, som märkte avvikande beteenden i Debian sid-installationer.
Denna skadliga kod är svår att upptäcka eftersom den använder tekniker för att dölja sin närvaro. Enligt en rapport från Red Hat saknas den M4-makro som är nödvändig för att initiera byggandet av den skadliga koden i den officiella Git-distributionen av XZ Utils. Men de komponenter som behövs för att injicera koden under byggprocessen finns där, redo att utlösas av det skadliga M4-makrot.
M4-makron är verktyg som vanligen används för att generera kod, hantera text och förbereda konfigurationsfiler inom mjukvaruutveckling och systemadministration. I detta specifika fall, används ”.m4”-filer för att kompilera en komprometterad version av liblzma, som sedan utnyttjas av systemd genom systemd-notify för att informera om tjänstestarter och andra statusförändringar.
Efter att nyheterna om den komprometterade programkoden spreds stängde GitHub tillgången till det berörda programvarurepositoriet. Den misstänkta ändringen tros ha genomförts av en användare vid namn JiaT75, som är en av huvudutvecklarna bakom XZ Utils.
Det hela tyder på en välplanerad strategi för att infiltrera och installera en bakdörr i flera stora Linux-distributioner, med syftet att dessa sedan ska sprida sårbarheten vidare genom sina regelbundna uppdateringar.
XZ Utils spelar en central roll i Linux genom sin förmåga att effektivt hantera komprimering och dekomprimering av filer i XZ-format, vilket gör verktygen till en standarddel i många Linux-miljöer.
Frågan om vilka Linux-distributioner som är påverkade av CVE-2024-3094 är avgörande. De senaste uttalandena från ledande Linux-distributioner ger insikt i vilka som behöver vidta åtgärder mot denna säkerhetsrisk. Läs mer på länken
https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored
