XZ atacado por un código malicioso que podría permitir el acceso remoto no autorizado al sistema
Red Hat emitió una "alerta de seguridad urgente" para los usuarios de Fedora 41 y Fedora Rawhide en XZ. Sí, las herramientas y bibliotecas XZ para este formato de compresión. Se agregó algún código malicioso a XZ 5.6.0/5.6.1 que podría permitir el acceso remoto no autorizado al sistema.
Red Hat cita CVE-2024-3094 para esta vulnerabilidad de seguridad de XZ debido a que un código malicioso ingresa al código base. Aún no he visto el CVE-2024-3094 hecho público, pero la alerta de seguridad de Red Hat lo resume como:
"La inyección maliciosa presente en las bibliotecas xz versiones 5.6.0 y 5.6.1 está ofuscada y solo se incluye en su totalidad en el paquete de descarga; la distribución Git carece de la macro M4 que desencadena la compilación del código malicioso. Los artefactos de la segunda etapa están presentes en el repositorio de Git para la inyección durante el tiempo de compilación, en caso de que la macro M4 maliciosa esté presente.
La compilación maliciosa resultante interfiere con la autenticación en sshd a través de systemd. SSH es un protocolo comúnmente utilizado para conectarse de forma remota a sistemas, y sshd es "El servicio que permite el acceso. En las circunstancias adecuadas, esta interferencia podría permitir que un actor malicioso rompa la autenticación sshd y obtenga acceso no autorizado a todo el sistema de forma remota".
¡Ay! XZ 5.6 debutó hace un mes
y XZ 5.6.1 salió hace tres semanas. Al momento de escribir este
artículo, aún no hay disponible ningún XZ 5.6.2 o una versión similar
sin el código malicioso eliminado.
La advertencia urgente de Red Hat se puede encontrar en el blog de Red Hat. Debian también ha publicado un mensaje de seguridad similar sobre el código malicioso dentro de las utilidades XZ.
En pocas palabras, asegúrese de no tener XZ 5.6.0/5.6.1 en sus sistemas ahora.
Nota: información adicional ahora disponible en la lista de oss-security con el descubrimiento de Andrés Freund.