A Red Hat emitiu um “alerta de segurança urgente” para usuários do Fedora 41 e do Fedora Rawhide sobre XZ. As ferramentas e bibliotecas XZ para este formato de compressão estão comprometidas com um ataque massivo. Alguns códigos maliciosos foram adicionados ao XZ 5.6.0/5.6.1 que podem permitir o acesso remoto não autorizado ao sistema. Os responsáveis pelo desenvolvimento do Debian também destacaram o problema. Assim, Red Hat e Debian alertam: XZ foi atingido por código malicioso que pode permitir acesso remoto não autorizado ao sistema.
A Red Hat cita CVE-2024-3094 para esta vulnerabilidade de segurança XZ devido a código mal-intencionado que chega à base de código. Ainda não vi o CVE-2024-3094 tornado público, mas o alerta de segurança da Red Hat resume-o como:
“A injeção maliciosa presente nas bibliotecas xz versões 5.6.0 e 5.6.1 é ofuscada e incluída apenas na íntegra no pacote de download – a distribuição Git não possui a macro M4 que aciona a compilação do código malicioso. Os artefatos de segundo estágio estão presentes no repositório Git para a injeção durante o tempo de compilação, caso a macro M4 maliciosa esteja presente.
A compilação maliciosa resultante interfere com a autenticação no sshd via systemd. SSH é um protocolo comumente usado para conexão remota a sistemas, e sshd é o serviço que permite o acesso. Sob as circunstâncias certas, essa interferência poderia potencialmente permitir que um ator mal-intencionado quebrasse a autenticação sshd e obtivesse acesso não autorizado a todo o sistema remotamente.”
Red Hat alerta que XZ atingido por código malicioso que pode permitir acesso remoto não autorizado ao sistema
O XZ 5.6 estreou há um mês e o XZ 5.6.1 saiu há três semanas. No momento em que escrevo, nenhuma versão lançada do XZ 5.6.2 ou similar ainda está disponível com o código malicioso removido.
O aviso urgente da Red Hat pode ser encontrado no blog da Red Hat. O Debian também lançou uma mensagem de segurança semelhante sobre o código malicioso dentro dos utils XZ. Resumindo a história, certifique-se de não ter o XZ 5.6.0/5.6.1 em seus sistemas agora.
Além disso, para aqueles que executam distribuições do openSUSE, a SUSE publicou um procedimento de downgrade no https://build.opensuse.org/request/show/1163302.
Informações adicionais agora disponíveis na lista oss-security com a descoberta por Andres Freund.