XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
Linux向け有名パッケージxzにsshバックドアできる脆弱性が埋め込まれた問題について調べる
取り急ぎの記載ですが、以下のpiyoさんの記事がかなりまとまっているのでこちらを読んでいただくのが良さそうです。 https://piyolog.hatenadiary.jp/entry/2024/04/01/035321 これはなに ここ数日インターネットで騒がれたxzのセキュリティ事案について一旦自分で調べたやつです。 ついでに、こういう件の当事者(自社製品に脆弱性が見つかったり、脆弱性を発見したり)になったときどうしよう、というところも少し調べました。 xzについて調べた内容 概要と結論 Linux向けに広く利用されていたxzにsshでバックドアできる脆弱性が埋め込まれていた 対象のバージョンはxz 5.6.0, 5.6.1 5.6.1が最新なので一般的なLinuxディストリビューションでは利用されてないっぽい RedHatの一部ディストロ以外は問題ない こちらの記事が正確 XZ U
xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG
03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 (SBOMの話、VEXの話はこちら)。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:45更新】情報が纏まっているサイトを更新しました。また、piyologさんからリンクを貼っていただいていたので、こちらも載せています。その他、「xz –version」を実行するのもだめという話
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
