緊急警告、圧縮ツールxzにsshdを介した不正アクセスの可能性 - 利用の中止を
マイナビニュース / 2024年4月1日 15時32分
Red Hatは3月29日(米国時間)、「Urgent security alert for Fedora 41 and Fedora Rawhide users」において、圧縮ツールおよびライブラリーの「xz」から悪意のあるコードを発見したとして、注意を喚起した。このコードの影響を受けるライブラリ「liblzma」により、攻撃者はsshdを介してシステムに不正アクセスする可能性がある。
○xzが抱える脆弱性の概要
発見された悪意のあるコードは脆弱性「CVE-2024-3094」として追跡されている。この脆弱性の影響を受けるバージョンは次のとおり。
xz バージョン5.6.0または5.6.1
脆弱性(CVE)の情報は次のとおり。
CVE-2024-3094 - XZ Utilsのライブラリ「liblzma」には難読化された悪意のあるコードが含まれている。liblzmaのビルドプロセスはソースコード内の偽装されたテストファイルからオブジェクトファイルを抽出し、liblzmaの特定の関数を変更する。変更されたliblzmaはリンクされたあらゆるソフトウェアとのやりとりを傍受してデータを変更することができる
○脆弱性が及ぼす影響と対策
この脆弱性はsystemdによって起動されたsshdの認証を妨害する。この妨害により攻撃者はsshdの認証を突破し、リモートからシステム全体に不正アクセスする可能性がある。なお、systemd以外から起動した場合は速度の低下など、悪意のある処理による影響が発生しない。これは、コードに分析を回避する処理が含まれており、悪意ある動作を停止させているからとみられている。
悪意のあるコードをビルドプロセスにて挿入するパッケージは、完全なダウンロードパッケージのみとされる。Gitディストリビューションには悪意のあるコードを動作させるM4マクロが含まれていないため影響を受けない。なお、xzの公式サイトおよびGitリポジトリーは現在閉鎖されている。
Red Hatの調査によると、この脆弱性の影響を受けるLinuxディストリビューションは次の3つとされる。
Fedora 41
Fedora Rawhide
Debian 不安定版(Sid)
ただ、他のディストリビューションも安全性が保証されているわけではない。Red Hatは「他のディストリビューションのユーザーは、ディストリビューターに相談して指示を得る必要がある」と述べ、各ディストリビューションの公式発表に従って行動することを推奨している。
また、影響を受けるLinuxディストリビューションを利用しているユーザーには、ただちに使用を中止することが推奨されている。なお、米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、使用を継続するユーザーに対し、軽減策として安全なバージョン(xz バージョン5.4.6など)にダウングレードすることを推奨している(参考:「Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISA」)。
(後藤大地)
この記事に関連するニュース
-
オープンソースプロジェクトのソーシャルエンジニアリングに警戒を - OpenSSF/OpenJS
マイナビニュース / 2024年4月23日 15時43分
-
Rustの圧縮ライブラリ「liblzma-sys」にxzの悪意あるコードが混入
マイナビニュース / 2024年4月16日 9時57分
-
圧縮ツールxzに仕掛けられたバックドア、その巧妙な手口が明らかに
マイナビニュース / 2024年4月15日 11時23分
-
多要素認証プラットフォーム「PassLogic」、「Red Hat Enterprise Linux 9」対応の新バージョン「Ver.6.0.0」を2024年7月から提供開始予定
@Press / 2024年4月3日 11時0分
-
Linuxのwallコマンドにパスワード流出につながる脆弱性、更新を
マイナビニュース / 2024年4月1日 8時26分
ランキング
-
1佐野正弘のケータイ業界情報局 第125回 SIMフリーに消極的だったサムスン電子、なぜ「Galaxy S24」で方針を一転させた?
マイナビニュース / 2024年4月30日 11時30分
-
2「絶対美味しいじゃん」とXで話題! おかずにもなる「春キャベツと鶏そぼろのお味噌汁」がおいしそう
ねとらぼ / 2024年4月30日 7時0分
-
3東京駅の中身ってこうなってたんだ! 豆知識が詰まった手描きの断片図に「これ凄い!」「見ながら散策したい」の声
ねとらぼ / 2024年4月28日 19時45分
-
4『スト6』での“瞬獄殺”もかっこよすぎ!追加キャラ「豪鬼」5月22日配信決定&ゲームプレイ映像公開
インサイド / 2024年4月29日 19時24分
-
5「Vポイント」お得なキャンペーン全解説 新規の方は絶対読んでほしい
ASCII.jp / 2024年4月30日 7時30分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください