Haavoittuvuus10/2024CVSS 10CVE-2024-3094 (Ulkoinen linkki)
Linux-jakeluiden XZ Utils -tiedostonpakkausohjelman 5.6.0 ja 5.6.1 versiot sisältävät haitallista koodia, joka sallii luvattoman pääsyn luoden takaportin järjestelmään. Haitallinen koodi on käytössä useissa Linux-jakeluissa. Valmistaja suosittelee ottamaan käyttöön vanhemman version (5.4.6) XZ Utils -tiedostonpakkausohjelmasta tai poistamaan sen käytöstä kokonaan, sillä korjaavaa ohjelmistopäivitystä ei ole vielä julkaistu.
XZ Utils -tiedostonpakkausohjelman uusimmassa versiossa on kriittinen haavoittuvuus. Haavoittuvuus aiheutuu kirjastossa olevasta haitallisesta koodista. Järjestelmän haavoittuvuuden hyväksikäyttö johtaa luvattomaan pääsyyn luoden samalla takaportin järjestelmään. Tätä haitallista koodia on ainakin XZ Utlis -versioissa 5.6.0 ja 5.6.1.
Suosittelemme edelleen aiemman version (5.4.6) käyttöönottoa ja kehotamme harkitsemaan erittäin vakavasti SSH:n poistamista käytöstä, mikäli paluu aiemman version käyttöön ei ole välittömästi mahdollista.
Valmistaja on julkaissut ohjeet, joiden avulla on mahdollista tarkistaa, onko käytössä oleva XZ Utils:n versio haavoittuva.
Seuraa oman Linux-jakelusi tai ohjelmistosi valmistajan tiedotteita ja korjaavia päivityksiä. Haavoittuvan järjestelmän eheys tulee tarkistaa. Pelkän haavoittuvuuden päivittäminen ei välttämättä riitä, jos haavoittuvuutta on jo ehditty käyttää jo hyväksi.
Jos käytössäsi on Linux-jakelu Debian sid, Fedora 41, Fedora Rawhide, openSUSE Tumbleweed tai openSUSE MicroOS, on päivitys jo saatavilla.
Jos käytössänne on alla oleva Linux-jakelu tai ohjelmisto ja siinä käytössä XZ Utlis -versio 5.6.0 vai 5.6.1 on järjestelmäsi haavoittuva.
- Red Hat Fedora Rawhide (Fedora Linuxin nykyinen kehitysversio) ja Fedora Linux 40 beta sisälsivät haitallisen versioin (5.6.0, 5.6.1) xz-kirjastoista. Linkki Red Hat (Ulkoinen linkki)
- OpenSUSE Tumbleweed ja openSUSE MicroOS sisälsivät haavoittuneen xz-version 7.3 ja 28.3 välisenä aikana. Valmistajan sivulla on ohjeet päivittämisen. Linkki OpenSUSE (Ulkoinen linkki)
- Debianin testi, epävakaat ja kokeelliset jakelut sisältävät haavoittuvan XZ Utlis version. Linkki valmistajan tiedotteeseen. Linkki Debian (Ulkoinen linkki)
- Kali Linux, jotka ovat päivittäneet asennuksensa 26.–29.3.2024. Linkki valmistajan tiedotteeseen. Linkki Kali Linux (Ulkoinen linkki)
- Arch Linux -virtuaalikoneet ja -levykuvat ja asennuspaketit sisälsivät haitallisen version XZ Utlis. Linkki Ach Linux (Ulkoinen linkki)
Haavoittuva XZ Utils versiota ei ole havaittu alla olevissa Linux-jakeluissa.
- Ubuntu -ilmoitus (Ulkoinen linkki)
- Linux Mint -ilmoitus (Ulkoinen linkki)
- Gentoo Linux -ilmoitus (Ulkoinen linkki)
- Amazon Linux -ilmoitus (Ulkoinen linkki)
- Alpine Linux -ilmoitus (Ulkoinen linkki)
Voit tarkistaa järjestelmäsi XZ Utils kirjaston version tästä linkistä (Ulkoinen linkki).
Haavoittuvuus koskee organisaatioita, palveluntarjoajia sekä henkilöitä, joilla on käytössä tai ylläpidossa XZ Utils -tiedostonpakkausohjelmaa sisältäviä Linux-jakeluita.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Palvelunestohyökkäys
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Ongelman rajoittaminen
- Ei päivitystä
Haavoittuvuuden kohde
Linux-jakelut, joissa on käytössä XZ Utils -tiedostonpakkausohjelman 5.6.0 ja 5.6.1 versiot
Mistä on kysymys?
Valmistaja suosittelee lopettamaan käytön tai siirtymään edelliseen versioon 5.4.6.
Seuraa oman Linux-jakelusi tai ohjelmistosi valmistajan tiedotteita ja korjaavia päivityksiä. Haavoittuvan järjestelmän eheys tulee tarkistaa. Pelkän haavoittuvuuden päivittäminen ei välttämättä riitä, jos haavoittuvuutta on jo ehditty käyttää jo hyväksi.
Mitä voin tehdä?
RedHat:n blogikirjoitus:
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users (Ulkoinen linkki)
Tarkemmat tiedot CVE:stä:
https://nvd.nist.gov/vuln/detail/CVE-2024-3094 (Ulkoinen linkki)
CISA:n julkaisema haavoittuvuustiedote:
https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094 (Ulkoinen linkki)
WIZ julkaisema haavoittuvuustiedote: