В пятницу, 29 марта, проекту Fedora стало известно об CVE-2024-3094, связанном с инструментами и библиотеками xz. В настоящее время пользователи Fedora Rawhide, скорее всего, получили испорченный пакет, а пользователи бета-версии Fedora Linux 40 могли получить пакет, если они решили обновиться из тестовых репозиториев. Пользователи Fedora Linux 40 Beta, использующие только стабильные репозитории, НЕ затронуты. Пользователи Fedora Linux 39 и 38 также НЕ затронуты. ПОЖАЛУЙСТА, НЕМЕДЛЕННО ПРЕКРАТИТЕ ИСПОЛЬЗОВАНИЕ FEDORA RAWHIDE для работы или личной деятельности. Вскоре Fedora Rawhide будет возвращена к версии xz-5.4.x, и как только это будет сделано, экземпляры Fedora Rawhide можно будет безопасно повторно развернуть. Напоминаем, что Fedora Rawhide — это разрабатываемый дистрибутив Fedora Linux, который служит основой для будущих сборок Fedora Linux (в данном случае — еще не выпущенной Fedora Linux 41).
Red Hat Product Security опубликовала следующее описание недавно обнаруженной уязвимости: Вредоносный код был обнаружен в исходных архивах xz, начиная с версии 5.6.0. Посредством серии сложных обфускаций процесс сборки liblzma извлекает предварительно созданный объектный файл из замаскированного тестового файла, существующего в исходном коде, который затем используется для изменения определенных функций в коде liblzma. В результате получается модифицированная библиотека liblzma, которую может использовать любое программное обеспечение, связанное с этой библиотекой, перехватывающее и изменяющее взаимодействие данных с этой библиотекой.
Fedora 40 (Development branch) was tested . Version of xz was 5.4.6
boris@fedora:~$ date
Sat Mar 30 09:37:00 AM MSK 2024
$ hostnamectl
Static hostname: fedora40KDE.localdomain
Icon name: computer-vm
Chassis: vm
Machine ID: 3af261f51cf643c4a3c6dfb529772fdf
Boot ID: cb6f863e8ca64922b7fe37780ff9a2ae
Virtualization: kvm
Operating System: Fedora Linux 40 (Forty Prerelease)
CPE OS Name: cpe:/o:fedoraproject:fedora:40
OS Support End: Tue 2025-05-13
OS Support Remaining: 1y 1month 1w 6d
Kernel: Linux 6.8.2-300.fc40.x86_64
Architecture: x86-64
Hardware Vendor: QEMU
Hardware Model: Standard PC _Q35 + ICH9, 2009_
Firmware Version: edk2-20240214-2.fc39
Firmware Date: Wed 2024-02-14
Firmware Age: 1month 2w
$ rpm -qa| grep xz
xz-libs-5.4.6-3.fc40.x86_64
xz-5.4.6-3.fc40.x86_64
Почему Arch Linux && Manjaro Linux потенциально опасны
Статус Manjaro Testing/Unstable уже настораживает. Идет вал публикаций по CVE-2024-3094. По этому вопросу ничего не писал только ленивый. Актуальная и важная информация - второй линк ниже.
Детально смотри ( английский нужен )
Добавлено 23:05 МСК 30.03.24
Arch Linux
«Следующие артефакты выпуска содержат скомпрометированный xz: установочный носитель 2024.03.01 образы виртуальных машин 20240301.218094 и 20240315.221711 образы контейнеров, созданные между 24 февраля 2024 г. и 28 марта 2024 г. включительно. Артефакты, затронутые выпуском, были удалены из наших зеркал. Мы настоятельно не рекомендуем использовать артефакты затронутых выпусков и вместо этого загружать то, что доступно на данный момент в качестве последней версии! Настоятельно рекомендуется сразу же выполнить полное обновление системы, если в вашей системе установлена версия xz 5.6.0-1 или 5.6.1-1».
SUSE / openSUSE ( Образ от 20240328 протестирован )
«SUSE Linux Enterprise и Leap созданы отдельно от openSUSE. Код, функциональность и характеристики Tumbleweed не добавляются автоматически в SUSE Linux Enterprise и/или Leap. Установлено, что вредоносный файл, внедренный в Tumbleweed, отсутствует в SUSE Linux Enterprise и/или Leap. Специалисты по обслуживанию openSUSE откатили версию xz для Tumbleweed 28 марта и выпустили новый снимок Tumbleweed (20240328 или новее), созданный на основе безопасной резервной копии».
Debian
«На данный момент неизвестно, какие стабильные версии Debian будут затронуты. Скомпрометированные пакеты были частью тестовых, нестабильных и экспериментальных дистрибутивов Debian с версиями от 5.5.1alpha-0.1 (загружено 01 февраля 2024 г.) до 5.6.1-1 включительно. Пакет был возвращен для использования исходного кода 5.4.5, который мы назвали версией 5.6.1+really5.4.5-1. Пользователям, использующим тестовую и нестабильную версию Debian, настоятельно рекомендуется обновить пакеты xz-utils».