Срочное предупреждение о безопасности для пользователей Fedora 40/41: Критическая уязвимость в XZ Utils

Red Hat выступила со срочным предупреждением о безопасности для пользователей Fedora Linux 40, Fedora Linux 41 и Fedora Rawhide, касающимся критической уязвимости в пакетах XZ Utils версий 5.6.0 и 5.6.1. Эта уязвимость может позволить неавторизованным лицам получить удаленный доступ через SSH.

В исходных архивах XZ Utils 5.6.0 обнаружены лишние файлы .m4 с инструкциями по сборке программного обеспечения с версией GNU Automake, которая отсутствует в репозитории. В процессе компиляции библиотеки liblzma из одного из тестовых архивов извлекается предварительно скомпилированный объектный файл, который используется для модификации определенных функций в коде XZ Utils. Поскольку библиотека liblzma используется таким программным обеспечением, как sshd, это может быть использовано злоумышленниками для получения удаленного доступа к уязвимой системе.

«Полученная вредоносная сборка мешает аутентификации в sshd через systemd», — говорится в рекомендациях по безопасности. «При определенных обстоятельствах это вмешательство потенциально может позволить злоумышленнику нарушить аутентификацию sshd и получить удаленный несанкционированный доступ ко всей системе».

Red Hat призывает пользователей Fedora Linux 40 beta, Fedora Linux 41 (пре-альфа) и Fedora Rawhide прекратить использование своих систем для бизнеса или личных целей. Системы Fedora Linux 41 и Fedora Rawhide уже включают затронутые пакеты XZ, а Fedora Linux 40 beta пользователи получили их ранее сегодня.

Для пользователей бета-версии Fedora Linux 40 существует обновление, которое возвращает пакет XZ к версии 5.4.x, и он должен стать доступен пользователям через обычную систему обновлений. Чтобы принудительно обновиться, вам следует запустить команду ниже в эмуляторе терминала или следовать инструкциям отсюда.

sudo dnf upgrade --refresh --advisory=FEDORA-2024-d02c7bb266

Для пользователей Fedora Linux 40 beta хорошая новость заключается в том, что Live-образы поставляются с XZ 5.4.6, который не затронут этой проблемой. Однако обновление до новой версии XZ 5.6.0 будет автоматически установлено, если вы обновите свою систему, поэтому НЕ ОБНОВЛЯЙТЕ свои установленные системы, если у вас установлена версия XZ 5.4.6.

Уязвимость касается только 64-битных систем (x86_64). Red Hat также сообщила, что пользователи дистрибутивов openSUSE затронуты этой проблемой и что SUSE уже опубликовала процедуру отката для тех, кто установил уязвимый пакет XZ.

Хотя эта уязвимость затрагивает пользователей Fedora, Red Hat сообщает, что она не влияет на выпуски Red Hat Enterprise Linux. Другие дистрибутивы GNU/Linux, которые поставляются с XZ Utils версии 5.6.0 или более поздней, также должны быть затронуты, но ни один из известных стабильных дистрибутивов не включает эти новые версии XZ Utils.

Андрес Фройнд подробно объясняет, как эта уязвимость влияет на вашу систему, которую он тестировал на Debian Sid (Unstable). Red Hat также сообщила, что это затронуло и пользователей дистрибутивов openSUSE, и что SUSE уже опубликовала процедуру перехода на более раннюю версию для тех пользователей, которые используют уязвимый пакет XZ.

Пользователи Kali Linux пострадали от этой уязвимости в период с 26 по 29 марта. Offensive Security также предупреждает пользователей Kali Linux о необходимости как можно скорее обновить свои установленные системы, чтобы применить последние исправления.

Вегард Носсум написал скрипт, который проверяет вашу систему на предмет уязвимости двоичного файла ssh. Вы можете скачать его по ссылке и воспользоваться им с помощью команды sh detect_sh.bin.