XZ ha sido infectado con código malicioso que puede permitir el acceso remoto no autorizado al sistema

Red Hat emitió hoy una “alerta de seguridad urgente” para los usuarios de Fedora 41 y Fedora Rawhide a través de XZ. Sí, herramientas y bibliotecas XZ para este formato de compresión. Se ha agregado algún código malicioso a XZ 5.6.0/5.6.1 que puede permitir el acceso remoto no autorizado al sistema.

Red Hat cita CVE-2024-3094 para esta vulnerabilidad XZ debido a la presencia de código malicioso en el código base. Aún no he visto el CVE-2024-3094 anunciado públicamente, pero la alerta de seguridad de Red Hat lo resume así:

«La inyección maliciosa encontrada en las bibliotecas xz 5.6.0 y 5.6.1 ha sido ocultada y solo está incluida completamente en el paquete de descarga; la distribución Git carece de la macro M4 que genera el código malicioso. La inyección está presente en el repositorio de Git durante el tiempo de compilación, en caso de que haya una macro M4 maliciosa.

La compilación maliciosa resultante interfiere con la autenticación en sshd a través de systemd. SSH es un protocolo comúnmente utilizado para conectarse de forma remota a sistemas y sshd es el servicio que permite el acceso. En las circunstancias adecuadas, esta interferencia podría permitir que un actor malintencionado rompa la autenticación sshd y obtenga acceso no autorizado a todo el sistema de forma remota.

¡Oh! XZ 5.6 debutó hace un mes y XZ 5.6.1 se lanzó hace tres semanas. En el momento de escribir este artículo, XZ 5.6.2 o similar aún no está disponible después de que se haya eliminado el código malicioso.

La advertencia flash de Red Hat se puede encontrar en Blog de Red Hat. Debian también lanzó una versión similar Mensaje de seguridad A través de código malicioso dentro de XZ Tools.

En resumen, asegúrese de no tener XZ 5.6.0/5.6.1 en sus sistemas en este momento.

actualizar: Información adicional ahora está disponible en lista de seguridad de oss Con el descubrimiento de Anders Freund.