Namerna ranljivost v xz
Matej Huš
31. mar 2024 ob 19:12:05
Inženirji iz Red Hata so v petek opozorili na podtaknjeno ranljivost v knjižnicah xz 5.6.0 in 5.6.1 (izšli 24. februrja in 9. marca), ki vnaša stranska vrata v OpenSSH in systemd. Ranljivost CVE-2024-3094 je ocenjena z najvišjo stopnjo resnosti po CVSS. Ranljiva knjižnica je del Fedore 40 in 41, ki pa še nista uradno izšli - Fedora 40 izide sredi aprila. Prizadeti sta tudi distribuciji Debian Unstable in Kali Linux, večina bolj priljubljenih distribucij pa ne, ker še niso vključili omenjenih verzij xz. Uporaba razvojne verzije Fedora Rawhide je zato trenutno močno odsvetovana. Starejša verzija knjižnice xz 5.4.0 ni problematična.
V Linuxu je xz splošen format za stiskanje datotek. Zlonamerna koda je namenoma prikrita (obfuscated) in vključena le v poln paket - sproži jo makro M4. Preko stranski vrat, ki jih knjižnica uvaja, bi lahko zlonamerni akter zlomil preverjanje pristnosti v sshd in pridobil nepooblaščen oddaljeni dostop do sistema. K sreči so ranljivost odkrili, še preden se je knjižnica razširila v produkcijske distribucije. Za zdaj so prizadete le razvojne (predogledne). A Will Dormann iz podjetja Analygence dodaja, da se je to zgodilo le, ker so bili zlikovci površni. Če bi svoje delo opravili bolje, bi šla prizadeta verzija v produkcijo, kar bi bila katastrofa za varnost.
Ranljivost je 23. februarja dodal uporabik JiaT75, ki je vrsto let razvijal xz. Kot kaže, ni šlo za zlorabo njegovih prijavnih podatkov ali vdor v njegov sistem, temveč za namerno dejanje. Nato je celo izrecno spraševal, ali bo xz 5.6.1 vključena v produkcijo, češ da odpravlja hrošča v Valgrindu, in v Fedori 40.