Red Hatは3月29日(米国時間)、「Urgent security alert for Fedora 41 and Fedora Rawhide users」において、圧縮ツールおよびライブラリーの「xz」から悪意のあるコードを発見したとして、注意を喚起した。このコードの影響を受けるライブラリ「liblzma」により、攻撃者はsshdを介してシステムに不正アクセスする可能性がある。

  • Urgent security alert for Fedora 41 and Fedora Rawhide users

    Urgent security alert for Fedora 41 and Fedora Rawhide users

xzが抱える脆弱性の概要

発見された悪意のあるコードは脆弱性「CVE-2024-3094」として追跡されている。この脆弱性の影響を受けるバージョンは次のとおり。

  • xz バージョン5.6.0または5.6.1

脆弱性(CVE)の情報は次のとおり。

  • CVE-2024-3094 - XZ Utilsのライブラリ「liblzma」には難読化された悪意のあるコードが含まれている。liblzmaのビルドプロセスはソースコード内の偽装されたテストファイルからオブジェクトファイルを抽出し、liblzmaの特定の関数を変更する。変更されたliblzmaはリンクされたあらゆるソフトウェアとのやりとりを傍受してデータを変更することができる

脆弱性が及ぼす影響と対策

この脆弱性はsystemdによって起動されたsshdの認証を妨害する。この妨害により攻撃者はsshdの認証を突破し、リモートからシステム全体に不正アクセスする可能性がある。なお、systemd以外から起動した場合は速度の低下など、悪意のある処理による影響が発生しない。これは、コードに分析を回避する処理が含まれており、悪意ある動作を停止させているからとみられている。

悪意のあるコードをビルドプロセスにて挿入するパッケージは、完全なダウンロードパッケージのみとされる。Gitディストリビューションには悪意のあるコードを動作させるM4マクロが含まれていないため影響を受けない。なお、xzの公式サイトおよびGitリポジトリーは現在閉鎖されている。

Red Hatの調査によると、この脆弱性の影響を受けるLinuxディストリビューションは次の3つとされる。

  • Fedora 41
  • Fedora Rawhide
  • Debian 不安定版(Sid)

ただ、他のディストリビューションも安全性が保証されているわけではない。Red Hatは「他のディストリビューションのユーザーは、ディストリビューターに相談して指示を得る必要がある」と述べ、各ディストリビューションの公式発表に従って行動することを推奨している。

また、影響を受けるLinuxディストリビューションを利用しているユーザーには、ただちに使用を中止することが推奨されている。なお、米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、使用を継続するユーザーに対し、軽減策として安全なバージョン(xz バージョン5.4.6など)にダウングレードすることを推奨している(参考:「Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISA」)。