ГлавнаяБаза уязвимостей БДУ → BDU:2024-02406
10критическая

BDU:2024-02406 (CVE-2024-3094)

Уязвимость библиотеки liblzma пакета для сжатия данных XZ Utils, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-01
Описание

Уязвимость библиотеки liblzma пакета для сжатия данных XZ Utils связана с наличием недекларированных возможностей. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Gentoo Linux (.)openSUSE TumbleweedArch LinuxРОСА Кобальт (7.9)ROSA Virtualization (2.1)РОСА ХРОМ (12.4)Fedora (40)Fedora (41)XZ Utils (5.6.0)XZ Utils (5.6.1)ManjaroОСОН ОСнова Оnyx (до 2.11)UBLinux (до 2405)
Способ устранения

Установка стабильной версии программного обеспечения из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- переход на стабильную версию, не содержащую бэкдор (например, XZ Utils 5.4.6 Stable);
- использование антивирусного программного обеспечения (содержащего актуальные базы и YARA-правила) для отслеживания попыток эксплуатации уязвимости;
- изменение учётных данных в операционной системе, в которой было установлено уязвимое программное обеспечение, по причине их возможной компрометации.

Использование рекомендаций производителя:
Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/cve-2024-3094
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Для программных продуктов Novell Inc.:
https://news.opensuse.org/2024/03/29/xz-backdoor/

Для Debian/GNU Linux:
https://lists.debian.org/debian-security-announce/2024/msg00057.html
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024

Для Gentoo Security:
https://bugs.gentoo.org/show_bug.cgi?id=CVE-2024-3094

Для Arch Linux:
https://security.archlinux.org/ASA-202403-1

Для Manjaro:
https://forum.manjaro.org/t/xz-package-contains-a-vulnerability/159028

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения linux-firmware до версии 20240318.git3b128b60-0ubuntu2.osnova1

Для UBLinux:
https://security.ublinux.ru/CVE-2024-3094

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2409

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2408

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2407

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2024-3094https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usershttps://news.opensuse.org/2024/03/29/xz-backdoor/https://lists.debian.org/debian-security-announce/2024/msg00057.htmlhttps://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024https://bugs.gentoo.org/show_bug.cgi?id=CVE-2024-3094https://security.archlinux.org/ASA-202403-1https://forum.manjaro.org/t/xz-package-contains-a-vulnerability/159028
Проверьте безопасность своего сайта и почты → Полная проверка домена