最終更新日時:Tue, 02 Apr 2024 18:56:29 GMT
3月29日(金)、開発者の Andres Freund は、自身の Debian sid 環境における異常な挙動を調査した後、オープンソースのセキュリティ・メーリングリストにコンタクトし、広く使われているコマンドラインツール XZ Utils (liblzma) にアップストリームのバックドアを発見したことを共有しました。このバックドアは、同ツールを数年間開発してきたオープンソースのコミッターによって追加されたもので、XZ Utilsのバージョン5.6.0と5.6.1に影響を及ぼす。このバックドアには CVE-2024-3094 が割り当てられています。
Red Hatの勧告によると
"xzのバージョン5.6.0と5.6.1のライブラリに存在する悪意のあるインジェクションは難読化されており、ダウンロードパッケージにのみ含まれています。悪意のあるM4マクロが存在する場合、ビルド時にインジェクションのための第2段階のアーティファクトがGitリポジトリにあります。
その結果、悪意のあるビルドは、systemdを介したsshdの認証を妨害します。 SSHはシステムへのリモート接続によく使われるプロトコルで、sshdはアクセスを許可するサービスです。 適切な状況下では、この干渉によって悪意のある行為者がsshdの認証を破り、システム全体にリモートから不正アクセスできる可能性があります。"
バックドアに関するコミュニティによる分析は現在進行中です。幸い、フロイント氏の発見により、バックドア化されたユーティリティのバージョンは、ほとんどの主要Linuxディストリビューションの安定版の派生バージョンには影響を与えず、実稼働システムには影響ははなさそうです。今回最も危険にさらされるのは、Linux の最新バージョンを好んで使用する傾向のある開発者たちであると考えられます。
緩和ガイダンス
XZ Utilsのユーザーは、直ちにユーティリティの古いバージョン(つまり5.6.0より前のバージョン)にダウングレードし、ディストリビューション管理者の指示に従ってインストールとパッケージを更新してください。
主要なLinuxディストリビューションおよびパッケージ管理者は、アップデートに関するガイダンスを公開しています。以下は、影響を受けるディストリビューションと受けないディストリビューションの一覧です。最新の情報や対処法については、各ディストリビューションやパッケージの勧告を参照してください。
影響を受けるディストリビューション(3月31日現在)
unstable / sid のみ - "5.5.1alpha-0.1 (2024-02-01 にアップロード) から 5.6.1-1 までのバージョン"
2024年3月26日から3月29日までに更新されたシステム
3月7日から2024年3月28日の間にTumbleweedとMicroOSをローリングリリース
Fedora RawhideとFedora 40 Linuxベータ版
以下のディストリビューションは影響を受けないとしている:
影響を受けるバージョンや悪用可能な要件に関する情報は、脅威の詳細が判明するにつれて変更される可能性があることにご留意ください。
Rapid7のお客様
InsightVMとNexposeのお客様は、2024年4月1日のコンテンツリリースから利用可能な、認証およびエージェントベースのパッケージバージョンチェックにより、CVE-2024-3094への露出を評価することができます。
InsightCloudSecのお客様は、ホストとコンテナの脆弱性評価機能を使用して、クラウドリソースを評価することができます。有効にすると、「Vulnerabilities > Software」に進み、以下のフィルタを追加できます:
また、「Show Software without Vulnerabilities(脆弱性のないソフトウェアを表示する)」にチェックを入れて「xz」を検索すると、展開されているすべてのバージョンのソフトウェアが表示されます。
また、Rapid7 Labsは、インストールされた脆弱なパッケージの検索を支援するために、
このVelociraptorのアーティファクトを
共有してます。
ブログ更新
2024年4月2日:InsightVMおよびNexposeのお客様は、本日(4月1日)のコンテンツリリースで、認証済みおよびエージェントベースの脆弱性チェックにより、CVE-2024-3094への暴露を評価できるようになります。また、InsightCloudSecの最新バージョンをご利用のお客様は、クラウドリソースの脆弱性を評価することができます。
※本ブログは英語版ブログ "Backdoored XZ Utils (CVE-2024-3094)" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。