Phylumは4月11日(米国時間)、「Rust crate shipping xz backdoor」において、プログラミング言語Rustのパッケージリポジトリ「crates.io」から配布されている圧縮ライブラリ「liblzma-sys」に、xzの悪意あるコードが混入されたと報じた。このライブラリの高レベル実装にあたる「liblzma」の一部バージョンも間接的に影響を受けたとみられる。
xzの悪意あるコードは「緊急警告、圧縮ツールxzにsshdを介した不正アクセスの可能性 - 利用の中止を | TECH+(テックプラス)」から確認することができる。
悪意あるコードの影響を受ける製品
xzの悪意あるコードの影響を受けたとされる製品およびバージョンは次のとおり。
- liblzma-sys バージョン0.3.2
- liblzma バージョン0.3.0
不具合が修正された製品
xzの悪意あるコードを削除した製品およびバージョンは次のとおり。
- liblzma-sys バージョン0.3.3
- liblzma バージョン0.3.1
影響と対策
2024年4月5日に公開されたliblzma-sys バージョン0.3.2にxzの悪意あるコードが混入した。この悪意あるコードはxzの特定のビルドファイルによってビルドプロセス時に展開され、ライブラリに挿入される仕組みとなっている。GitHubから配布されたxzのソースコードにはこのビルドファイルが含まれていないため、Rustのliblzma-sysは感染しないとみられている。
しかしながら、悪意のあるコードが存在していることに変わりはなく、Phylumは将来の攻撃にて悪用される可能性があるとして注意を促している。これまでに影響を受けたバージョンのliblzma 0.3.1は5,500回以上、liblzma-sys 0.3.2は1,100回以上ダウンロードされたとみられている。
Rustを使用する開発者には開発環境にこれらライブラリが存在しないかどうかを確認し、存在する場合は速やかに削除またはアップデートすることが推奨されている。