ファイル圧縮フォーマットである「xz」のソフトウェアのv5.6.0とv5.6.1にて、悪意のあるコードが含まれていたことが判明し、重大な脆弱性として「CVE-2024-3094」として登録されました。

脆弱性

脆弱性の詳細についてはopenwallに掲載されていますが、CVE番号を登録したRedHatがもう少しわかりやすく説明しています。

具体的には、バックドアが仕込まれており、systemdを介したsshdでの認証を妨害し、SSH認証を突破し、リモートでシステム全体にアクセスできるようになるというもののようです。

追記 4/2 xz --versionは避けるべき

該当するxzのバージョンがインストールされているかわからない場合、xz --versionのコマンドも危ういという情報があります。安全性を担保する場合は、OSまたはパッケージマネージャーのコマンドを用いてxzの実行ファイル名あるいは、パッケージマネージャーに登録されているバージョンを確認したほうがいいです。

Mac・Ubuntu・Fedoraについては以下のエントリにまとめました。

Mac（brew）とUbuntu、Fedoraで「xz」などパッケージのバージョンを確認する方法 - Nishiki-Hub

影響

影響は「xz v5.6.0」及び「xz v5.6.1」ですが、現時点でv5.6.1が最新版であるため、v5.6.0以降へのアップデートを回避するか、v5.4.6へのロールバックが推奨されています。

RedHatは、「Fedora Rawhide」と「Fedora 40」を使用しているユーザーに対して警告しています。「Fedora Rawhide」については、仕様を直ちに中止することを発表した。「Fedora 40」では悪意のあるコードは確認されていませんが、xz v5.4.xへのロールバックを案内しています。なお、RedHat Enterprise Linuxについては影響はないとのこと。

Debianも警告を発しており、Stableのものは影響がないものの、テスト版では影響があるとのことです。

macOSではHomebrewでxz-5.6.1をインストール出来た模様で、現在は最新版が5.4.6となっています。もしインストールされている方は、