RedHat hat am Freitag eine dringende Sicherheitswarnung herausgegeben, die besagt, dass zwei Versionen einer beliebten Datenkompressionsbibliothek namens XZ Utils (früher LZMA Utils) mit bösartigem Code versehen wurden. Dieser Code ermöglicht unbefugten Fernzugriff und betrifft die Versionen 5.6.0 (veröffentlicht am 24. Februar) und 5.6.1 (veröffentlicht am 9. März) von XZ Utils.
Die Schwachstelle, die unter CVE-2024-3094 erfasst wurde, hat einen CVSS-Score von 10.0, was die höchstmögliche Schwere anzeigt. Die manipulierte Bibliothek könnte von jeder Software, die gegen diese Bibliothek verlinkt ist, verwendet werden, um die Interaktion mit der Bibliothek abzufangen und zu modifizieren.
Insbesondere ist der schädliche Code darauf ausgelegt, mit dem sshd-Daemon-Prozess für SSH (Secure Shell) über das systemd-Softwarepaket zu interferieren und könnte es einem Angreifer unter bestimmten Umständen ermöglichen, die sshd-Authentifizierung zu umgehen und unbefugten Fernzugriff auf das System zu erlangen.
Die schädlichen Änderungen wurden über eine Reihe von vier Commits im Tukaani Project auf GitHub von einem Benutzer namens JiaT75 eingeführt. GitHub hat das Repository von XZ Utils des Tukaani Project „wegen Verstoßes gegen die Nutzungsbedingungen von GitHub“ deaktiviert. Es gibt derzeit keine Berichte über aktive Ausnutzung im Feld.
Betroffen sind ausschließlich Fedora 41 und Fedora Rawhide; Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux und SUSE Linux Enterprise und Leap sind nicht betroffen. Fedora Linux 40-Nutzern wird vorsorglich empfohlen, auf eine 5.4 Build-Version zurückzugraden. Zu den weiteren von dem Angriff betroffenen Linux-Distributionen gehören unter anderem:
- Kali Linux (zwischen dem 26. und 29. März)
- openSUSE Tumbleweed und openSUSE MicroOS (zwischen dem 7. und 28. März)
- Debian Testing, Unstable und Experimental-Versionen (von 5.5.1alpha-0.1 bis 5.6.1-1)
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat ebenfalls eine Warnung herausgegeben und Benutzer dazu aufgerufen, XZ Utils auf eine unkomplizierte Version herabzustufen (z.B. XZ Utils 5.4.6 Stable).
Dieser Vorfall unterstreicht die Bedeutung der Wachsamkeit in Bezug auf Software-Sicherheit und die Notwendigkeit, Systeme regelmäßig auf potenzielle Sicherheitslücken zu überprüfen und zu aktualisieren, um den Schutz sensibler Daten und Systeme zu gewährleisten.