(1) 概要
2024年3月29日(現地時間)、複数のLinuxディストリビューションなどで利用されているファイル可逆圧縮ツールであるXZ Utilsに悪意のあるコードが挿入された問題(CVE-2024-3094)が確認されたとして、ツールの開発元であるThe Tukaani Projectの開発者やディストリビューターなどが情報を公開しています。同問題は同ツールの共同開発者により2024年2月24日頃に挿入され、悪意のあるコードが挿入されたバージョンのツールがインストールされたシステムでは、特定条件下でSSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性があるとのことです。XZ Utilsを使っている可能性があるLinuxディストリビューションを利用している場合、同ツールの開発者や各ディストリビューターが公開する最新の情報を参照し、影響の有無の調査や必要な対処の実施をご検討いただくことを推奨します。
XZ Utils backdoor
https://tukaani.org/xz-backdoor/
(2) 影響を受けるバージョン
CVE-2024-3094の影響を受けるバージョンは次のとおりです。各Linuxディストリビューションなどでの影響バージョンや推奨される対処方法などの詳細は、各ディストリビューターなどが公開する情報を参照してください。
- XZ Utils 5.6.0 および 5.6.1
※ なお、すでに侵害されたバージョンのXZ Utilsを使用している可能性を考慮し、xzコマンドによるバージョンの確認は避け、各種パッケージ管理ソフトのバージョン確認コマンドをお使いください。
(3) 参考情報
本問題について、Linuxディストリビューターなどから情報が公開されています。以下、一部のディストリビューターが公開する本問題に関する情報のリンクを掲載いたします。
Debian
[SECURITY] [DSA 5649-1] xz-utils security update
https://lists.debian.org/debian-security-announce/2024/msg00057.html
https://security-tracker.debian.org/tracker/CVE-2024-3094
Red Hat
Urgent security alert for Fedora Linux 40 and Fedora Rawhide users
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Apache Security Team
xz/liblzma/libarchive compromise
https://security.apache.org/blog/cve-2024-3094/
Arch Linux
The xz package has been backdoored
https://archlinux.org/news/the-xz-package-has-been-backdoored/
Alpine Linux
CVE-2024-3094
https://security.alpinelinux.org/vuln/CVE-2024-3094
Kali
All about the xz-utils backdoor
https://www.kali.org/blog/about-the-xz-backdoor/
SUSE/openSUSE
CVE-2024-3094Common Vulnerabilities and Exposures
https://www.suse.com/security/cve/CVE-2024-3094.html
Ubuntu
CVE-2024-3094
https://ubuntu.com/security/CVE-2024-3094
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp