Red Hat випустила термінове сповіщення системи безпеки для користувачів Fedora Linux 40, Fedora Linux 41 і Fedora Rawhide про недолік безпеки (CVE-2024-3094) у пакетах XZ Utils 5.6.0 і 5.6.1, який може дозволити несанкціонований віддалений доступ доступ через SSH. Про це повідомляє 9to5 linux.com.
Архіви пакету XZ Utils 5.6.0, який поширюється через GitHub або офіційний вебсайт проєкту, включали деякі додаткові файли .m4, які містили інструкції зі створення програмного забезпечення з версією GNU Automake, якої не існувало у репозиторії.
Під час компіляції бібліотеки liblzma попередньо зібраний об’єктний файл витягується з одного із тестових архівів і використовується для зміни певних функцій у коді XZ Utils.
Оскільки бібліотека liblzma використовується таким програмним забезпеченням, як sshd, зловмисники можуть використовувати для отримання віддаленого доступу до вразливої системи.
«Отримана шкідлива збірка заважає автентифікації в sshd через systemd. За відповідних обставин це втручання потенційно може дати змогу зловмиснику зламати автентифікацію sshd та отримати несанкціонований доступ до всієї системи віддалено», – йдеться у пораді щодо безпеки.
Red Hat попереджає користувачів Fedora Linux 40 beta, Fedora Linux 41 (pre-alpha) і користувачів Fedora Rawhide припинити використання своїх систем для бізнесу чи особистого використання. Системи Fedora Linux 41 і Fedora Rawhide вже містять уражені пакунки XZ.
Для користувачів бета-версії Fedora Linux 40 існує оновлення, яке повертає пакет XZ до версії 5.4.x. Воно має стати доступним для користувачів через звичайну систему оновлення.
Щоб примусово оновити, ви повинні виконати наведену нижче команду в емуляторі терміналу або дотримуйтесь інструкцій, наведених тут.
sudo dnf upgrade --refresh --advisory=FEDORA-2024-d02c7bb266У Red Hat стверджують, що ця помилка безпеки не впливає на жодну з версій Red Hat Enterprise Linux.
Хороша новина для користувачів бета-версії Fedora Linux 40 полягає в тому, що живі знімки ISO постачаються із XZ 5.4.6, на який ця проблема не впливає.
Однак поганою є новина, що оновлення XZ 5.6.0 буде встановлено автоматично, якщо ви оновите інсталяцію, тому, будь ласка, не оновлюйте інсталяції, якщо у вас XZ 5.4.6.
Якщо у вас встановлено XZ 5.6.0 (перевірте за допомогою sudo dnf list --installed xz). Наведена вище команда працює для бета-систем Fedora Linux 40 і призведе до зниження пакету до версії 5.4.6 і видалення версії 5.6.0 із вашої системи.
Слід також відзначити той факт, що ця вразливість впливає лише на 64-розрядні (x86_64) системи. Ваш демон SSH (sshd) має бути доступним з Інтернету, щоб цей експлойт працював.
Андрес Фройнд детально пояснює тут, як ця вразливість впливає на вашу систему. Її було перевірено на Debian Sid (Нестабільний).
Red Hat також повідомила, що це стосується і користувачів дистрибутивів openSUSE. SUSE вже опублікувала тут процедуру пониження для тих, хто встановив вразливий пакет XZ.
Користувачі Kali Linux постраждали від цієї вразливості. Offensive Security попереджає користувачів про необхідність якомога швидше оновити свою установку, щоб застосувати останні виправлення, якщо вони оновили свої системи 26 березня або пізніше.
Існує сценарій, створений Vegard Nossum, який перевіряє вашу систему, щоб побачити, чи є бінарний файл ssh вразливим чи ні. Ви можете завантажити його звідси та використовувати із sh detect_sh.bin командою у вікні терміналу.
Проєкт openSUSE опублікував заяву щодо вразливості, знайденої в бібліотеці стиснення XZ, і способів її усунення в дистрибутивах openSUSE Tumbleweed та openSUSE MicroOS.
Відповідно до заяви, користувачі Tumbleweed і MicroOS мали скомпрометований пакет XZ 5.6.1, встановлений у своїх системах із 7 до 28 березня, коли проєкт openSUSE зробив відкат до XZ 5.4.
У Red Hat стверджують, що автор бекдору був частиною проєкту XZ Utils протягом 2 років, додаючи всі види бінарних тестових файлів. Були намагання додати XZ 5.6.x до Fedora Linux 40 і Fedora Linux 41, оскільки він містить нові чудові функції.
Розробники Arch Linux також випустили пораду щодо безпеки, в якій зазначено, що шкідливого коду не існує в arch-версії sshd, оскільки він не посилається на liblzma.
Користувачам Arch Linux рекомендується оновити до xz 5.6.1-2 та уникати вразливого коду у своїх системах, оскільки він може бути викликаний іншими, неідентифікованими векторами.
Нещодавно ми повідомляли, що Red Hat анонсує появу Nova – графічного драйвера GSP на основі Rust для графічних процесорів NVIDIA.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
