Уязвимост в компресираща програма засяга няколко популярни Linux дистрибуции(снимка: CC0

Уязвимост в компресираща стратегия визира няколко известни Linux дистрибуции
(снимка: CC0 Public Domain)

Microsoft разгласява насоки и препоръки по отношение на накърнимост в задна малка врата на програмата за компресиране XZ Utils, разпозната като CVE-2024-3094. Тази накърнимост в сигурността е с доста висока степен на заплаха – има оценка CVSS 10.0 (Common Vulnerability Scoring System), визира няколко дистрибуции на Linux, включително Fedora, Kali Linux, OpenSUSE и Alpine, и може да има голямо световно влияние.

За благополучие, уязвимостта беше инцидентно открита в точния момент от Linux разработчик на Microsoft. Андрес Фройнд е бил любопитен за какво има закъснение от 500 ms в SSH (Secure Shell) връзките и разкрива злонамерена задна врата, която е била вградена във файловия компресор XZ.

Към момента VirtusTotal изброява единствено седем снабдители на сигурност (включително Microsoft) от общо 63, които вярно откриват експлойта като нездравословен. Следователно инженерът на Microsoft би трябвало да бъде окуражителен, защото обръща внимание на сериозен проблем. Инцидентът също по този начин демонстрира по какъв начин софтуерът с отворен код може да бъде експлоатиран от злонамерени играчи, разяснява Neowin.
още по темата
Версии 5.6.0 и 5.6.1 на XZ Utils са компрометирани. Официалната рекомендация на Агенцията за киберсигурност и сигурност на инфраструктурата на Съединени американски щати (CISA) към потребителите е да употребяват по-стари безвредни версии на помощната стратегия.

Съгласно целесъобразните насоки, с цел да ревизират дали дадена Linux система съдържа уязвимия програмен продукт, потребителите могат да изпълнят следната команда в SSH с администраторски привилегии:  xz –version

Предлагат се и принадлежности за сканиране и разкриване от така наречен трети страни. Компаниите за проучване на сигурността и разгласиха такива принадлежности, с цел да оказват помощ на Linux потребителите да схванат дали техните системи са наранени.

Qualys разгласява VULNSIGS версия 2.6.15-6 и маркира уязвимостта като QID (Qualys Vulnerability Detection ID) “379548 ”. Междувременно Binarly пусна и безвъзмезден скенер за задната врата, който при разкриване на компрометирана версия на XZ Utils издава известие „ XZ злоумишлен имплант ”.