CVE-2024-3094: бэкдор в популярной утилите XZ затрагивает множество популярных дистрибутивов Linux
habr.comУязвимость CVE-2024-3094 в XZ Utils - популярной утилите сжатия формата XZ, включенной в большинство дистрибутивов Linux - может «позволить злоумышленнику нарушить аутентификацию sshd и получить удаленный несанкционированный доступ ко всей системе», предупреждает Red Hat. CVE-2024-3094 и обход аутентификации OpenSSH Причиной уязвимости на самом деле является вредоносный код, присутствующий в версиях 5.6.0 (выпущен в конце февраля) и 5.6.1 (выпущен 9 марта) библиотек xz, который был случайно обнаружен Андресом Фройндом, разработчиком и программистом PostgreSQL в Майкрософт. «После наблюдения нескольких странных симптомов, связанных с liblzma (часть пакета xz) в установках Debian sid в течение последних недель (вход в систему с использованием ssh, отнимающий много ресурсов процессора, ошибки valgrind ), я нашел ответ: upstream-репозиторий xz и xz-tarball содержали бэкдор» — поделился он в списке рассылки oss-security. О CVE-2024-3094 По мнению Red Hat, вредоносное внедрение в уязвимые версии библиотек замаскировано и включено только в полном объеме в пакет загрузки.«В дистрибутиве Git отсутствует макрос M4, запускающий сборку вредоносного кода.
Артефакты второго этапа присутствуют в репозитории Git для внедрения во время сборки на случай присутствия вредоносного макроса M4»— добавили они.Полученная вредоносная сборка мешает аутентификации в sshd через systemdВредоносный сценарий в архивах запутан, как и файлы, содержащие основную часть эксплойта, так что это, скорее всего, не случайно. «Учитывая активность в течение нескольких недель, можно сделать вывод, что коммиттер либо непосредственно замешан в этом, либо имела место довольно серьезная компрометация их системы.