Namerna ranljivost v xz
Slo-Tech - Inženirji iz Red Hata so v petek opozorili na podtaknjeno ranljivost v knjižnicah xz 5.6.0 in 5.6.1 (izšli 24. februrja in 9. marca), ki vnaša stranska vrata v OpenSSH in systemd. Ranljivost CVE-2024-3094 je ocenjena z najvišjo stopnjo resnosti po CVSS. Ranljiva knjižnica je del Fedore 40 in 41, ki pa še nista uradno izšli - Fedora 40 izide sredi aprila. Prizadeti sta tudi distribuciji Debian Unstable in Kali Linux, večina bolj priljubljenih distribucij pa ne, ker še niso vključili omenjenih verzij xz. Uporaba razvojne verzije Fedora Rawhide je zato trenutno močno odsvetovana. Starejša verzija knjižnice xz 5.4.0 ni problematična.
V Linuxu je xz splošen format za stiskanje datotek. Zlonamerna koda je namenoma prikrita (obfuscated) in vključena le v poln paket - sproži jo makro M4. Preko stranski vrat, ki jih knjižnica uvaja, bi lahko zlonamerni akter zlomil preverjanje pristnosti v sshd in pridobil nepooblaščen oddaljeni dostop do sistema. K sreči so ranljivost odkrili, še preden...
V Linuxu je xz splošen format za stiskanje datotek. Zlonamerna koda je namenoma prikrita (obfuscated) in vključena le v poln paket - sproži jo makro M4. Preko stranski vrat, ki jih knjižnica uvaja, bi lahko zlonamerni akter zlomil preverjanje pristnosti v sshd in pridobil nepooblaščen oddaljeni dostop do sistema. K sreči so ranljivost odkrili, še preden...