Девелоперы Red Hat настоятельно рекомендуют не использовать находящиеся в разработке и экспериментальные версии Fedora, поскольку в XZ Utils, инструментах и библиотеках для сжатия данных, найден бэкдор.
Соответствующая запись в блоге компании появилась в пятницу. На важность ситуации указывает Caps Lock, которым напечатано предупреждение:
«Пожалуйста, немедленно прекратите пользоваться установками Fedora 41 и Fedora Rawhide для работы или личных задач».
«Мы располагаем данными и доказательствами присутствия вредоносных инъекций в xz 5.6.x для нестабильной ветки Debian. Другие версии также могут быть затронуты. Ни одному из релизов Red Hat Enterprise Linux (RHEL) бэкдор не угрожает».
Команда безопасности Debian также опубликовала своё предупреждение, в котором отмечается, что проблема обошла стороной стабильные релизы дистрибутива. Администраторы могут проверить, какая версия XZ установлена в их системах с помощью команды «xz -V». Если это 5.6.0 или 5.6.1, настоятельно рекомендуется откатиться на предыдущие релизы.
Уязвимость выявил специалист Microsoft Андрес Фройнд, когда изучал проблему медленного логина по SSH в Debian Sid, находящемся в разработке. Однако на тот момент Фройнд не понимал, с какой целью в репозиторий (уже удален) был добавлен вредоносный код.
«Я пока не проверял, что именно делает вредоносный код, однако можно предположить, что он нужен для некоей формы доступа или удаленного выполнения кода, поскольку запускается в контексте предварительной аутентификации», — пишет специалист Microsoft.
Проблема получила идентификатор CVE-2024-3094 и 10 из 10 баллов по шкале CVSS — критическая уязвимость.
Вредоносный код обфусцирован, его можно найти только в полном пакете (не в Git).
