Эксперт обнаружил бэкдор в инструментах XZ, используемых во многих дистрибутивах Linux.

Red Hat предупреждает о наличии задней двери в инструментах и библиотеках сжатия данных XZ Utils в версиях Fedora development и experimental.

Red Hat настоятельно рекомендует пользователям немедленно прекратить использование систем, работающих на Fedora development и experimental версиях из-за наличия задней двери в последних версиях инструментов и библиотек "xz".

Компании Red Hat Information Risk and Security и Red Hat Product Security установили, что Fedora Linux 40 beta использует две версии библиотек xz - xz-libs-5.6.0-1.fc40.x86_64.rpm и xz-libs-5.6.0-2.fc40.x86_64.rpm, содержащие вредоносный код, который, по-видимому, предназначен для несанкционированного доступа.

Эксперты дополнили, что Fedora 40 Linux, по-видимому, не подвержена уязвимости, и они рекомендуют всем пользователям бета-версии Fedora 40 Linux вернуться к версиям 5.4.x.

Инженер Microsoft Андрес Фройнд обнаружил проблему задней двери, которая была отслежена как CVE-2024-3094 (оценка CVSS 10).

"НЕ МОЖЕТЕ НЕПОСРЕДСТВЕННО ОСТАНОВИТЬ ИСПОЛЬЗОВАНИЕ ЛЮБЫХ ЭКЗЕМПЛЯРОВ FEDORA RAWHIDE для работы или личной деятельности. Fedora Rawhide будет откатываться на xz-5.4.x в ближайшее время, и после этого экземпляры Fedora Rawhide могут быть безопасно развернуты. Обратите внимание, что Fedora Rawhide является развивающимся распространением Fedora Linux и служит основой для будущих сборок Fedora Linux (в данном случае еще не выпущенной Fedora Linux 41)". - говорит предупреждение, опубликованное Red Hat.

"На данный момент неизвестно, пострадали ли сборки Fedora Linux 40".

XZ - популярный формат сжатия данных, реализованный в почти всех дистрибутивах Linux, включая как сообществом разработанные, так и коммерческие варианты.

Вредоносный код, обнаруженный исследователями, закамуфлирован и присутствует только в пакете для загрузки. Ветвь Git не включает вредоносный код из-за отсутствия необходимой M4-макроса для запуска сборки вредоносного кода. Вредоносная сборка нарушает аутентификацию в sshd через systemd.

Команда безопасности Debian также опубликовала предупреждение о уязвимости и подтвердила, что стабильные версии Debian не затронуты.

"Андрес Фройнд обнаружил, что исходные архивы xz-utils, утилиты сжатия в формате XZ, подвергаются компрометации и встраивают вредоносный код в результирующую библиотеку liblzma5 во время сборки. Пока неизвестно, какие стабильные версии Debian подвержены угрозе. Загрязненные пакеты были частью тестовой, нестабильной и экспериментальной дистрибуции Debian с версиями от 5.5.1alpha-0.1 (загруженной 2024-02-01) до 5.6.1-1". - говорится в предупреждении.

"Пакет был возвращен к использованию кода версии 5.4.5 из источника, который мы именуем 5.6.1+really5.4.5-1. Пользователям, работающим с тестовой и нестабильной версиями Debian, рекомендуется обновить пакеты xz-utils."

CISA также опубликовал предупреждение, рекомендующее переход на нескомпрометированную версию XZ (то есть 5.4.6 Stable) и поиск любых вредоносных программ.