はじめに
本記事は2024年3月29日に発見されたXZ Utilsの脆弱性(CVE-2024-3094)の概要について記載しています。
背景
XZ Utilsは、色々なLinuxディストリビューションで広く使用されている圧縮ライブラリです。
2024年3月29日、MicrosoftのPostgreSQL開発者であるAndres Freund氏によって、SSHパフォーマンスの問題を調査中にXZ Utilsを構成しているliblzma内で悪意のあるコードを発見し、Openwallのセキュリティメーリング リストで報告されました。
影響
CVE Numbering Authority(CNA)であるRed Hat社によって、CVE-2024-3094が割り当てられています。
ライブラリの影響範囲は、XZ Utilsの5.6.0及び5.6.1のバージョンが影響を受けます。悪意のあるコードは難読化されていて、ダウンロードパッケージに含まれています。
本記事執筆時点では、実際に侵害されたなどの事例は確認できていませんが、特定の条件下で悪意のある攻撃者によって、バックドアを用いたsshd認証に対する不正アクセスの可能性が懸念されています。
原因
脆弱性が作り込まれた原因については、本記事執筆時点では不明です。
Openwallのセキュリティメーリング リストの投稿を見ると、コミッターが直接関与しているか、システムに侵害があった可能性を仄めかしていますが、後者の可能性は低いと言われています。
Given the activity over several weeks, the committer is either directly
involved or there was some quite severe compromise of their
system. Unfortunately the latter looks like the less likely explanation, given
they communicated on various lists about the "fixes" mentioned above.
対応
基本的には各ディストリビューションの公式情報をご確認ください。
現在把握できている各ディストリビューションの公式情報について、以下に記載します。
影響を受けるディストリビューション
| Distribution | Advisory |
|---|---|
| Arch Linux | The xz package has been backdoored |
| Debian(※unstable1) | CVE-2024-3094 |
| Fedora Linux 41・Fedora Rawhide users | Urgent security alert for Fedora Linux 40 and Fedora Rawhide users |
| Kali Linux | All about the xz-utils backdoor |
| openSUSE Tumbleweed・openSUSE MicroOS | openSUSE addresses supply chain attack against xz compression library |
| Ubuntu(※noble-proposed) | CVE-2024-3094 |
影響を受けないディストリビューション
| Distribution | Advisory |
|---|---|
| Amazon Linux | CVE-2024-3094 |
| Debian(※stable) | [SECURITY] [DSA 5649-1] xz-utils security update |
| Red Hat Enterprise Linux (RHEL) | CVE-2024-3094 |
| SUSE Linux Enterprise・Leap | CVE-2024-3094 |
おわりに
その他のLinuxディストリビューションについては、現在確認中だと思われるため、それぞれの公式情報をご確認ください。