Kriittinen haavoittuvuus Linux-jakeluissa XZ Utils -tiedonpakkausohjelmistossa
Linux-jakeluiden XZ Utils -tiedostonpakkausohjelman 5.6.0 ja 5.6.1 versiot sisältävät haitallista koodia, joka sallii luvattoman pääsyn luoden takaportin järjestelmään. Haitallinen koodi on käytössä useissa Linux-jakeluissa. Valmistaja suosittelee ottamaan käyttöön vanhemman version (5.4.6) XZ Utils -tiedostonpakkausohjelmasta tai poistamaan sen käytöstä kokonaan, sillä korjaavaa ohjelmistopäivitystä ei ole vielä julkaistu.
XZ Utils -tiedostonpakkausohjelman uusimmassa versiossa on kriittinen haavoittuvuus. Haavoittuvuus aiheutuu kirjastossa olevasta haitallisesta koodista. Järjestelmän haavoittuvuuden hyväksikäyttö johtaa luvattomaan pääsyyn luoden samalla takaportin järjestelmään. Tätä haitallista koodia on ainakin XZ Utlis -versioissa 5.6.0 ja 5.6.1.
Suosittelemme edelleen aiemman version (5.4.6) käyttöönottoa ja kehotamme harkitsemaan erittäin vakavasti SSH:n poistamista käytöstä, mikäli paluu aiemman version käyttöön ei ole välittömästi mahdollista.
Valmistaja on julkaissut ohjeet, joiden avulla on mahdollista tarkistaa, onko käytössä oleva XZ Utils:n versio haavoittuva.
Seuraa oman Linux-jakelusi tai ohjelmistosi valmistajan tiedotteita ja korjaavia päivityksiä. Haavoittuvan järjestelmän eheys tulee tarkistaa. Pelkän haavoittuvuuden päivittäminen ei välttämättä riitä, jos haavoittuvuutta on jo ehditty käyttää jo hyväksi.
Jos käytössäsi on Linux-jakelu Debian sid, Fedora 41, Fedora Rawhide, openSUSE Tumbleweed tai openSUSE MicroOS, on päivitys jo saatavilla.
Jos käytössänne on alla oleva Linux-jakelu tai ohjelmisto ja siinä käytössä XZ Utlis -versio 5.6.0 vai 5.6.1 on järjestelmäsi haavoittuva.
- Red Hat Fedora Rawhide (Fedora Linuxin nykyinen kehitysversio) ja Fedora Linux 40 beta sisälsivät haitallisen versioin (5.6.0, 5.6.1) xz-kirjastoista. Linkki Red Hat
- OpenSUSE Tumbleweed ja openSUSE MicroOS sisälsivät haavoittuneen xz-version 7.3 ja 28.3 välisenä aikana. Valmistajan sivulla on ohjeet päivittämisen. Linkki OpenSUSE
- Debianin testi, epävakaat ja kokeelliset jakelut sisältävät haavoittuvan XZ Utlis version. Linkki valmistajan tiedotteeseen. Linkki Debian
- Kali Linux, jotka ovat päivittäneet asennuksensa 26.–29.3.2024. Linkki valmistajan tiedotteeseen. Linkki Kali Linux
- Arch Linux -virtuaalikoneet ja -levykuvat ja asennuspaketit sisälsivät haitallisen version XZ Utlis. Linkki Ach Linux
Haavoittuva XZ Utils versiota ei ole havaittu alla olevissa Linux-jakeluissa.
- Ubuntu -ilmoitus
- Linux Mint -ilmoitus
- Gentoo Linux -ilmoitus
- Amazon Linux -ilmoitus
- Alpine Linux -ilmoitus
Voit tarkistaa järjestelmäsi XZ Utils kirjaston version tästä linkistä.
Haavoittuvuus koskee organisaatioita, palveluntarjoajia sekä henkilöitä, joilla on käytössä tai ylläpidossa XZ Utils -tiedostonpakkausohjelmaa sisältäviä Linux-jakeluita.
Haavoittuvuuden kohde
Linux-jakelut, joissa on käytössä XZ Utils -tiedostonpakkausohjelman 5.6.0 ja 5.6.1 versiot
Mistä on kysymys?
Valmistaja suosittelee lopettamaan käytön tai siirtymään edelliseen versioon 5.4.6.
Seuraa oman Linux-jakelusi tai ohjelmistosi valmistajan tiedotteita ja korjaavia päivityksiä. Haavoittuvan järjestelmän eheys tulee tarkistaa. Pelkän haavoittuvuuden päivittäminen ei välttämättä riitä, jos haavoittuvuutta on jo ehditty käyttää jo hyväksi.
Mitä voin tehdä?
RedHat:n blogikirjoitus:
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Tarkemmat tiedot CVE:stä:
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
CISA:n julkaisema haavoittuvuustiedote:
https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
WIZ julkaisema haavoittuvuustiedote:
https://www.wiz.io/blog/cve-2024-3094-critical-rce-vulnerability-found-in-xz-utils#references-15