Kritisk sårbarhet i XZ Utils (xz/liblzma)
Det har identifierats en bakdörr i XZ Utils, versionerna 5.6.0 och 5.6.1. XZ Utils är en datakompressionsmjukvara som kan förekomma i Linux-distributioner. [1,2]
NIST har klassat allvaret i sårbarheten (CVE-2024-3094) till 10.0, vilket är det högsta i den tiogradiga skalan CVSS 3.x. [3]
Ingångsvektorn för en aktör är att - givet rätt förutsättningar - med hjälp av sårbarheten/bakdörren otillbörligen autentisera sig genom SSH och på så sätt få full tillgång till det drabbade systemet. Bakdörrens funktionalitet är inte utredd fullt ut. CERT-SE följer utvecklingen och uppdaterar artikeln vid behov.
Uppdatering 2024-04-02
Artikel uppdaterad med information om att NIST klassar sårbarheten som 10.0 enligt CVSS 3.x, samt en länk med en förteckning över sårbara distributioner.
Påverkade produkter
XZ Utils (xz/liblzma):
XZ Utils (versionerna 5.6.0 och 5.6.1)
Det är känt att bland andra följande Linux-distributioner är berörda: [4]
Debian testing
Debian unstable
Fedora 40
Fedora 41
Fedora Rawhide
OpenSUSE Tumbleweed
Kali Roling
För en mer fullständig förteckning, se länk [4].
Rekommendationer
Ingen säkerhetsuppdatering för XZ Utils har ännu släppts. CERT-SE rekommenderar verksamheter som använder berörda distributioner av Linux att snarast gå tillbaka till en version av XZ Utils före 5.6.0 (t.ex. 5.4.6), samt uppdatera till en ny, säker version av XZ Utils så snart det har släppts. Om ni har de påverkade versionerna installerade bör ni utföra en grundlig utredning för att avgöra eventuell påverkan på systemen. Fortsätt följa rekommendationerna för din Linux-distribution eller programvarutillverkare. [2,5,6,7]
Om ni inte kan gå tillbaka till en tidigare version av XZ Utils, rekommenderar CERT-SE att man ser till att berörda maskiner inte kan nås över SSH från internet, alternativt att maskinen helt kopplas bort från internet i väntan på säkerhetsuppdatering. [2]
Källor
[1] https://www.openwall.com/lists/oss-security/2024/03/29/4
[2] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-3094
[4] https://repology.org/project/xz/versions
[5] https://lists.debian.org/debian-security-announce/2024/msg00057.html