Red Hatは最新バージョンのXZ Utilsに不正アクセスを意図する悪意あるコードが含まれていると発表した。この脆弱性はバージョン5.6.0および5.6.1に存在しCVSSスコアは「10.0」と評価されている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Red Hatは2024年3月29日(現地時間、以下同)、最新バージョンの「XZ Utils」に不正アクセスを意図した悪意あるコードが含まれていたと伝えた。
悪意あるコードはXZ Utilsのバージョン5.6.0および5.6.1に含まれているとされており、「CVE-2024-3094」として特定されている。共通脆弱性評価システム(CVSS) v3のスコア値は「10.0」で深刻度「緊急」(Critical)に分類されている。
XZ Utilsはファイルの圧縮や解凍を実行するツールだ。効率的な圧縮アルゴリズムを提供しており、複数のLinuxディストリビューションなどで採用されている。
Red Hatによると、XZ Utilsのバージョン5.6.0および5.6.1には悪意あるコードが難読化された状態で仕込まれており、特定条件下のビルドにおいてライブラリーの関数を悪意あるコードに変更する処理が仕込まれている。そのビルドを使った場合にはsystemdを介したsshd認証の妨害が可能になる。
Red Hatは「Fedora Linux 40」と「Fedora Rawhide」のユーザーがシステムアップデートのタイミングで脆弱(ぜいじゃく)性を含んだバージョンを受け取った可能性があるとしている。同社はそれぞれのユーザーに対して以下の対策を推奨した。
Red Hatは2024年3月30日に情報をアップデートし、Fedora Linux 40 β版に同脆弱性の影響を受ける次の2つのxzライブラリーが含まれていることを確認した。
Palo Alto Networksは2024年3月30日、Red Hatが報じた上記の脆弱性情報を取り上げ、影響を受けるLinuxディストリビューション情報として次の項目を挙げている。
本件については米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)も「Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISA」において注意喚起している。
Copyright © ITmedia, Inc. All Rights Reserved.