CVE-2024-3094の対象となるXZ Utilsが含まれているDebianのバージョンはunstableとなります。
PVEの現行最新版8.1のDebianはbookwormとなるため、対象外となります。
TL;DR
- XZ Utils Backdoor(CVE-2024-3094)のPVEへの影響確認
- Debianベースのため。
- 結果、影響なし。
- ベースになっているDebianのバージョンで、XZ Utilsの対象バージョンが利用されてないため。
- 念のため、実機でも確認。
概要
「CVSS 3」のベーススコアが「10.0」(Critical)で、Debianも対象だったため確認しました。
結果としてはDebianのunstable(検証版)のみが対象であるため、Proxmoxはもちろん商用環境のほとんどでは影響がなさそうです。
※本脆弱性そのものよりも、意図的に不正なコードを仕組むということが、OSSの文化へ与える影響の方が大きいかもしれません。
脆弱性の概要
以下がよくまとまっていましたので、参考にしました。
https://piyolog.hatenadiary.jp/entry/2024/04/01/035321
Debianへの影響は以下を見るのがよさそうです。
https://security-tracker.debian.org/tracker/CVE-2024-3094
脆弱性そのものよりも、背景的な部分(OSS開発者が意図的に行った点、買収の可能性がある点)などは以下がわかりやすかったです。
https://forest.watch.impress.co.jp/docs/news/1580604.html
PVEのDebianのバージョン
Based on Debian Bookworm (12.2)の通りですので、本脆弱の対象外となります。
実機の確認結果
確認用スクリプト
前述のまとめ記事内からも紹介されていますが、以下のスクリプトを実行しバージョンを確認します。
※XZ Utilsのコマンドを使ってもバージョン確認は可能ですが、非推奨です。
https://twitter.com/kostastsale/status/1773890846250926445
for xz_p in $(type -a xz | awk '{print $NF}' | uniq); do strings "$xz_p" | grep "xz (XZ Utils)" || echo "No match found for $xz_p"; done
確認結果
PVEのバージョン確認
root@demo-pve1:~# pveversion
pve-manager/8.1.4/ec5affc9e41f1d79 (running kernel: 6.5.11-7-pve)
Debianのバージョン確認
root@demo-pve1:~# cat /etc/os-release
PRETTY_NAME="Debian GNU/Linux 12 (bookworm)"
NAME="Debian GNU/Linux"
VERSION_ID="12"
VERSION="12 (bookworm)"
VERSION_CODENAME=bookworm
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"
スクリプトの実行
root@demo-pve1:~# cd /tmp/
root@demo-pve1:/tmp# vi check.sh
root@demo-pve1:/tmp# chmod 700 check.sh
root@demo-pve1:/tmp# ./check.sh
xz (XZ Utils) 5.4.1
xz (XZ Utils) 5.4.1
参考