Kritisk fejl i Linux-komprimeringsværktøj

Der er fundet en kritisk fejl i et datakomprimeringsværktøj, XZ, der bruges på praktisk taget alle Linux-platforme. Sårbarheden kan potentielt udnyttes til remote code execution med de rettigheder, som distributionen er installeret under.

Det skriver bl.a. Help Net Security.

Sårbarheden blev kendt for offentligheden i påskedagene og karakteriseres som en bagdør, der er at finde i forskellige distributioner og repositories i de officielle udgivelser af XZ 5.6.0 og 5.6.1. Disse udgivelser blev offentliggjort den 24. februar og 9. marts, dvs. at bagdøren har været til stede i en måneds tid.

En ondsindet aktør kan afhængigt af de privilegier, der er knyttet til systembrugeren, installere programmer, se, ændre eller slette data samt oprette nye konti med maksimale rettigheder. Installationer, som har anvendt systembrugere med færre rettigheder, er mindre udsatte end systeminstallationer som eksempelvis har anvendt root.

Sårbarheden har id’et CVE-2024-3094 og en CVSS-score på 10,0. 

De berørte produkter er forskellige Linux-platforme, hvor værktøjet er implementeret – hvilket ifølge DKCERTs oplysninger i praktisk er alle Linux-platforme. Help Net Security har i sin artikel en gennemgang af de berørte platforme.

Der er ikke offentliggjort eksempler på, hvordan sårbarheden udnyttes og heller ikke rapporter om aktiv udnyttelse.

Anbefalingen er, at installationerne rulles tilbage til før version 5.6.x.

Links:

https://www.helpnetsecurity.com/2024/03/31/xz-backdoored-linux-affected-distros/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094