Þann 29. mars síðastliðinn uppgötvaði starfsmaður Microsoft bakdyr í OpenSSH hugbúnaðinum sem hann rakti til spillikóða í XZ kóðasafninu (CVE-2024-3094). Spillikóðan var ekki að finna í kóðasafninu sjálfu heldur hafði honum verið komið fyrir í tilteknum útgáfum sem árásaraðilarnir settu mikinn þrýsting á útgáfustjóra Debian og Fedora um að koma inn í þeirra pakkakerfi.
Með öðrum orðum: árásaraðilarnir tóku yfir útgáfu á XZ kóðasafninu og blekktu aðila til að reyna að koma bakdyrum inn á mikinn fjölda Linux tölva.
Bakdyrnar voru settar í útgáfu XZ Utils 5.6.0/5.6.1 og eru þeir sem reka Debian testing, unstable og experimental / Fedora 40, 41 og Rawhide hvattir til að athuga hvort þeir hafi uppfært kerfi sín milli 23. mars og 29. mars síðastliðinn [1,2].
CERT-IS mælir með að lesa leiðbeiningar framleiðanda og grípa til aðgerða.
Ráðleggingar
Hægt er að sjá hvaða útgáfa af XZ Utils er til staðar með því að leita í pakkastjórnunarkerfi stýrikerfisins. Ef XZ Utils útgáfa 5.6.0 og 5.6.1 er til staðar er mælt með því að lækka í útgáfu 5.4.6 stable og fylgjast með leiðbeiningum framleiðanda [3,4].
Tilvísanir
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-3094
[2] https://www.openwall.com/lists/oss-security/2024/03/29/4
[3] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
[4] https://lists.debian.org/debian-security-announce/2024/msg00057.html