Спустя месяц после выпуска новой версии архиватора XZ 5.6.0 исследователи из Red Hat обнаружили в нём бэкдор (тайный вход).
Уязвимости подвержены системы, использующие этот код. Поскольку код очень нов, то он пока что попал только в новейшие дистрибутивы (Red Hat Fedora Linux 40 и Fedora Rawhide, openSUSE Tumbleweed – но не Slowroll и Leap, другие). Пакеты с исправлением уже готовы. Перезагрузите систему после обновления. Пока что исправление сделали путём возврата к предыдущим версиям (XZ 5.4).
Атака выглядит весьма умелой. Код бэкдора хорошо прятали.
National Vulnerability Database: https://nvd.nist.gov/vuln/detail/CVE-2024-3094
Сообщение от Red Hat: https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Сообщение от openSUSE: https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/4E6THBX3TMY5H7TBBBMQAQMZ3JX26A7D/
Сообщение от Debian: https://lists.debian.org/debian-security-announce/2024/msg00057.html
Phoronix об обнаружении бэкдора: https://www.phoronix.com/news/XZ-CVE-2024-3094
Phoronix о выпуске XZ 5.6: https://www.phoronix.com/news/XZ-5.6-Released
GitHub закрыл репозиторий: https://www.phoronix.com/news/GitHub-Disables-XZ-Repo
Копия репозитория: https://git.tukaani.org/?p=xz.git;a=tree
Исследование события (обновляется): https://boehs.org/node/everything-i-know-about-the-xz-backdoor
Ещё ссылки:
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://lwn.net/Articles/967180/
https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html