Linux

  1. Read

    Red Hat、「xz」に仕込まれたバックドアについて警告 Fedora Linux 40の他、macOSなどにも影響

    Red Hatの情報リスク管理および製品セキュリティチームからFedora Linuxユーザに緊急の警告が発表されました。これは「xz」圧縮ツールおよびライブラリに悪意のあるコードが挿入されているためでFedora Linux 40やFedora Rawhideの他、問題となるバージョンの5.6.0と5.6.1が使用されているDebianおよびArch Linuxなどの別のLinuxディストリビューション、macOSにも影響が及びます。 脆弱性の詳細と影響範囲 この脆弱性はCVE-2024-3094として指定されており、悪意のあるコードが挿入されたxzバージョンに更新したユーザに影響を及ぼします。 影響を受けるxzバージョンに見つかった悪意のあるコードは難読化されており、systemd経由のsshdの認証プロセスをターゲットにしています。これにより、悪意のあるアクターがsshd認証をバイパスし、システムに不正なリモートアクセスを可能にする可能性があります。この問題を報じたbatanewsによるとこのコードは、ダウンロードパッケージ内にのみ「完全」に含まれており、Git配布には悪意のあるコードのビルドをトリガーするM4マクロが欠けているとしています。 この脆弱性は、xzライブラリの5.6.0および5.6.1に存在し、特にFedora Linux 40ユーザとFedora Rawhideを使用しているユーザにリスクをもたらします。Red Hatは、問題が解決されるまでFedora Rawhideの使用を直ちに停止するよう勧告しています。また、Fedora Linux 40ユーザに対しても、予防措置として5.4バージョンへのダウングレードを推奨しています。 macOSへの影響 このセキュリティ問題はLinuxユーザだけに限りません。macOSで人気のあるHomeBrewパッケージマネージャーが、問題のある5.6.1のxzに依存しているアプリケーションを含むとArs Technicaが伝えています。HomeBrewチームはこの問題に対応し、xz をより安全な5.4.6バージョンにロールバックしています。 macOSを使用している方でHomeBrewを利用している場合は、パッケージのバージョンを確認し、必要に応じて安全なバージョンに更新してください。 このCVE-2024-...