[SECURITY-L] [RNP/CAIS Alerta #0140] Vulnerabilidades nos pacotes xz-utils (LINUX)
CSIRT Unicamp
security em unicamp.br
Segunda Abril 1 15:30:35 -03 2024
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
CAIS-Alerta [01-04-2024]: Vulnerabilidades nos pacotes xz-utils (LINUX)
Prezados(as),
O CAIS alerta a comunidade de segurança cibernética para vulnerabilidade
encontrada nos pacotes do utilitário de compressão XZ, utilizado por
diversas distribuições linux atualmente (CVE-2024-3094). Os utilitários de
compactação de formato XZ, incluídos na maioria das distribuições Linux,
podem “permitir que um ator mal-intencionado quebre a autenticação sshd e
obtenha acesso não autorizado a todo o sistema remotamente”, alerta a Red
Hat.
1) Produtos afetados;
2) Identificadores CVE (http://cve.mitre.org);
3) Descrição das vulnerabilidades;
4) Mitigação e correções disponíveis; e
5) Mais Informações.
1) Produtos afetados:
- - Fedora 41;
- - Fedora Rawhide;
- - openSUSE Factory;
- - openSUSE Tumbleweed;
- - Distribuições Debian nas versões testing, unstable e experimental; e
- - Qualquer distro que esteja executando as versões 5.6.0 e 5.6.1 do
pacote xz-utils.
2) Identificadores CVE (http://cve.mitre.org):
- - https://nvd.nist.gov/vuln/detail/CVE-2024-3094 (CVSS 10.0)
- - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094
3) Descrição da(s) vulnerabilidade(s):
- - Um código malicioso foi descoberto nos tarballs upstream do utilitário
xz, a partir da versão 5.6.0. Através de uma série de ofuscações complexas,
o processo de construção da biblioteca "liblzma" extrai um arquivo-objeto
pré-construído de um arquivo de teste disfarçado existente no código-fonte,
que é então usado para modificar funções específicas no código da
"liblzma". Isso resulta em uma biblioteca "liblzma" modificada que pode ser
usada por qualquer software vinculado a esta biblioteca, interceptando e
modificando a interação de dados com esta biblioteca.
4) Mitigação e correções disponíveis:
- - Atualize os pacotes para versões não vulneráveis ou aplique as
correções disponibilizadas pelos fornecedores.
- - Independente da lista de sistemas operacionais afetados, recomenda-se a
busca pelos pacotes supracitados nos ambientes computacionais, bem como
aplicação das medidas de mitigação em caso de identificar as versões
afetadas pela presente vulnerabilidade.
5) Mais Informações:
- - https://access.redhat.com/security/cve/CVE-2024-3094
- -
https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/
- - https://aws.amazon.com/security/security-bulletins/AWS-2024-002/
- - https://boehs.org/node/everything-i-know-about-the-xz-backdoor
- - https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024
- - https://bugs.gentoo.org/928134
- - https://bugzilla.redhat.com/show_bug.cgi?id=2272210
- - https://bugzilla.suse.com/show_bug.cgi?id=1222124
- - https://lists.debian.org/debian-security-announce/2024/msg00057.html
- -
https://lists.freebsd.org/archives/freebsd-security/2024-March/000248.html
- - https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/
- - https://security-tracker.debian.org/tracker/CVE-2024-3094
- - https://security.alpinelinux.org/vuln/CVE-2024-3094
- - https://security.archlinux.org/CVE-2024-3094
- - https://tukaani.org/xz-backdoor/
- - https://ubuntu.com/security/CVE-2024-3094
- -
https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
- -
https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils
- - https://www.openwall.com/lists/oss-security/2024/03/29/4
- -
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
- -
https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.
Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)
# Rede Nacional de Ensino e Pesquisa (RNP)
#
# cais em cais.rnp.br https://www.rnp.br/sistema-rnp/cais
# Tel. 019-37873300 Fax. 019-37873301
# Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key
################################################################
-----BEGIN PGP SIGNATURE-----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=mNn0
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta
===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20240401/8f7bfb19/attachment.html>
Mais detalhes sobre a lista de discussão SECURITY-L