Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か：セキュリティニュースアラート

Red Hatは最新バージョンのXZ Utilsに不正アクセスを意図する悪意あるコードが含まれていると発表した。この脆弱性はバージョン5.6.0および5.6.1に存在しCVSSスコアは「10.0」と評価されている。

[後藤大地，有限会社オングス]

　Red Hatは2024年3月29日（現地時間、以下同）、最新バージョンの「XZ Utils」に不正アクセスを意図した悪意あるコードが含まれていたと伝えた。

CVSS v3スコア「10.0」　複数のLinuxディストリビューションに深刻な影響

　悪意あるコードはXZ Utilsのバージョン5.6.0および5.6.1に含まれているとされており、「CVE-2024-3094」として特定されている。共通脆弱性評価システム（CVSS） v3のスコア値は「10.0」で深刻度「緊急」（Critical）に分類されている。

　XZ Utilsはファイルの圧縮や解凍を実行するツールだ。効率的な圧縮アルゴリズムを提供しており、複数のLinuxディストリビューションなどで採用されている。

　Red Hatによると、XZ Utilsのバージョン5.6.0および5.6.1には悪意あるコードが難読化された状態で仕込まれており、特定条件下のビルドにおいてライブラリーの関数を悪意あるコードに変更する処理が仕込まれている。そのビルドを使った場合にはsystemdを介したsshd認証の妨害が可能になる。

　Red Hatは「Fedora Linux 40」と「Fedora Rawhide」のユーザーがシステムアップデートのタイミングで脆弱（ぜいじゃく）性を含んだバージョンを受け取った可能性があるとしている。同社はそれぞれのユーザーに対して以下の対策を推奨した。

• Fedora Linux 40：　XZ Utilsを5.4にダウングレードする必要がある。「FEDORA-2024-d02c7bb266 ― unspecified update for perl-Compress-Raw-Lzma and xz ― Fedora Updates System」の指示に従って更新することが望まれる
• Fedora Rawhide：　仕事や個人的な活動のためのFedora Rawhideインスタンスの使用を中止する。Fedora Rawhideは間もなくXZ Utils 5.4.xに差し戻されるため、その後は安全に再デプロイできる

　Red Hatは2024年3月30日に情報をアップデートし、Fedora Linux 40 β版に同脆弱性の影響を受ける次の2つのxzライブラリーが含まれていることを確認した。

• xz-libs-5.6.0-1.fc40.x86_64.rpm
• xz-libs-5.6.0-2.fc40.x86_64.rpm

　Palo Alto Networksは2024年3月30日、Red Hatが報じた上記の脆弱性情報を取り上げ、影響を受けるLinuxディストリビューション情報として次の項目を挙げている。

• Red Hat：　Fedora Linux 40、Fedora Rawhide
• Debian：　Debian testing/unstable/experimental 5.5.1alpha-0.1から5.6.1-1までのバージョン
• Kali：　2024年3月26日〜2024年3月29日まで
• OpenSUSE：　OpenSUSE TumbleweedおよびOpenSUSE Micro OS 2024年3月7日〜2024年3月28日まで
• Apline：　5.6.1-r2以前の5.6.x系バージョン
• Arch：　インストールメディア2024.03.01、仮想マシンイメージ20240301.218094および20240315.221711、2024年2月24日から2024年3月28日の間に作成されたコンテナイメージ

　本件については米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）も「Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISA」において注意喚起している。