Bugün, Red Hat, en son XZ UTILS veri sıkıştırma araçları ve kütüphanelerinde bulunan bir arka kapı nedeniyle Fedora geliştirme ve deneysel sürümleri çalıştıran sistemleri kullanmayı hemen bırakmaları konusunda uyardı.
Red Hat Cuma günü "Lütfen hemen herhangi bir Fedora 41 veya Fedora Rawhide örneklerinin kullanımını durdurun."
"Red Hat Enterprise Linux'un (RHEL) hiçbir versiyonu etkilenmiyor. Debian kararsız (SID) için inşa edilen XZ 5.6.x versiyonlarında başarılı bir şekilde inşa edilen enjeksiyonların raporları ve kanıtları var. Diğer dağılımlar da etkilenebilir."
Debian'ın güvenlik ekibi ayrıca konu hakkında bir danışmacı uyarı kullanıcısı yayınladı. Danışmanlık, istikrarlı bir Debian versiyonunun tehlikeye atılan paketleri kullanmadığını ve XZ'nin etkilenen Debian testi, kararsız ve deneysel dağılımlar hakkında yukarı akış 5.4.5 koduna geri döndüğünü söylüyor.
Kali Linux, Opensee ve Arch Linux da etkilenen yuvarlanmalarda güvenlik danışmanları ve ters sürümler yayınladı.
Linux yöneticileri, XZ'nin hangi sürümünün paket yöneticileriyle sorgulanarak veya siber güvenlik araştırmacısı Kostas tarafından paylaşılan aşağıdaki kabuk betiğini çalıştırarak kurulduğunu kontrol edebilir.
Yukarıdaki komut dosyası, XZ yürütülebilir dosyasının tüm örneklerinde 'Dizeler' komutunu gerçekleştirecek ve gömülü sürümünü çıkaracaktır. Bu komutu kullanma, geri alınmış yürütülebilir dosyayı çalıştırmadan sürümü belirlemenizi sağlar.
5.6.0 veya 5.6.1 sürümlerini kullanıyorsanız, kötü amaçlı kodu içermeyen eski sürümlere hemen düşmeniz önerilir.
Microsoft yazılım mühendisi Andres Freund, Debian SID (Debian Distro'nun haddeleme geliştirme sürümü) çalıştıran bir Linux kutusundaki yavaş SSH girişlerini araştırırken güvenlik sorununu keşfetti.
Bununla birlikte, katkıda bulunan Jia Tan (JIAT75) tarafından XZ versiyonları 5.6.0 ve 5.6.1'deki Liblzma Veri Sıkıştırma Kütüphanesi'ne eklenen kötü amaçlı kodun kesin amacını bulamamıştır.
"Yetkisiz erişime izin vermek için enjekte edilen kodda kontrol edilenleri henüz tam olarak analiz etmedim. Bu, bir önceden kimlik doğrulama bağlamında çalıştığından, bir tür erişim veya başka bir uzaktan kod yürütme biçimine izin vermesi muhtemel görünüyor, "Freund dedi.
"Başlangıçta SSHD'nin Systemd dışında başlaması, arka kapı kısaca çağrılmasına rağmen yavaşlamayı göstermedi. Bu, analizi daha zor hale getirmek için bazı karşı önlemlerin bir parçası gibi görünüyor."
Red Hat şimdi bu tedarik zinciri güvenlik sorununu CVE-2024-3094 olarak izliyor, 10/10 kritik bir şiddet puanı atadı ve Fedora 40 beta'da XZ'nin 5.4.x sürümlerine döndü.
Kötü amaçlı kod gizlenir ve sadece tam indirme paketinde bulunabilir, arka kapı yapım sürecini tetikleyen M4 makrosundan yoksun Git Dağıtımında değil.
Kötü niyetli makro mevcutsa, Git deposunda bulunan ikinci aşama artefaktlar yapı süresi boyunca enjekte edilir.
Red Hat, "Ortaya çıkan kötü niyetli yapı, SSHD'de SSYD üzerinden kimlik doğrulamaya müdahale eder. SSH, sistemlere uzaktan bağlantı kurmak için yaygın olarak kullanılan bir protokoldür ve SSHD erişime izin veren hizmettir." Dedi.
"Doğru koşullar altında, bu müdahale potansiyel olarak kötü niyetli bir aktörün SSHD kimlik doğrulamasını kırmasını ve tüm sisteme uzaktan yetkisiz erişim kazanmasını sağlayabilir."
CISA ayrıca bugün geliştiricileri ve kullanıcılara bağımsız bir XZ sürümüne (yani 5.4.6 kararlı) düşmeleri ve sistemlerinde kötü niyetli veya şüpheli etkinlikleri avlamaları için bir danışmanlık yayınladı.
Güncelleme 01 Nisan, 12:40 EST: Etkilenen diğer Linux dağıtımları hakkında bilgi eklendi.
KDE, tema sildiğinden sonra Linux kullanıcının dosyalarını çok dikkatli tavsiye ediyor
Stealthy GtpDoor Linux kötü amaçlı yazılım hedefleri mobil operatör ağları
Dinodasrat kötü amaçlı yazılım, Casusluk Kampanyasında Linux sunucularını hedefler
On yıllık Linux ‘Duvar’ hatası sahte sudo istemleri yapmaya yardımcı olur, şifreler çalmaya yardımcı olur
Almanya, çevrimiçi olarak maruz kalan 17K savunmasız Microsoft Exchange sunucuları konusunda uyarıyor
Kaynak: Bleeping Computer