Kritisk fejl i Linux-komprimeringsværktøj

Stort set alle Linux-platforme påvirket.

Der er fundet en kritisk fejl i et datakomprimeringsværktøj, XZ, der bruges på praktisk taget alle Linux-platforme. Sårbarheden kan potentielt udnyttes til remote code execution med de rettigheder, som distributionen er installeret under.

Det skriver bl.a. Help Net Security.

Sårbarheden blev kendt for offentligheden i påskedagene og karakteriseres som en bagdør, der er at finde i forskellige distributioner og repositories i de officielle udgivelser af XZ 5.6.0 og 5.6.1. Disse udgivelser blev offentliggjort den 24. februar og 9. marts, dvs. at bagdøren har været til stede i en måneds tid.

En ondsindet aktør kan afhængigt af de privilegier, der er knyttet til systembrugeren, installere programmer, se, ændre eller slette data samt oprette nye konti med maksimale rettigheder. Installationer, som har anvendt systembrugere med færre rettigheder, er mindre udsatte end systeminstallationer som eksempelvis har anvendt root.

Sårbarheden har id’et CVE-2024-3094 og en CVSS-score på 10,0. 

De berørte produkter er forskellige Linux-platforme, hvor værktøjet er implementeret – hvilket ifølge DKCERTs oplysninger i praktisk er alle Linux-platforme. Help Net Security har i sin artikel en gennemgang af de berørte platforme.

Links:

https://www.helpnetsecurity.com/2024/03/31/xz-backdoored-linux-affected-distros/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094

Keywords: