Официально: CVE-2024-3094 — это «бэкдор в XZ Utils, который почти случился». К счастью, вредоносное ПО было обнаружено до того, как выпустили скомпрометированную версию в качестве официального обновления. Если вы используете Fedora Linux 38 или 39 или последнюю версию Fedora Linux 40 Beta, у вас все должно быть готово, и предстоящий финальный выпуск Fedora Linux 40 не будет затронут.
Бэкдор XZ — хитрая работа. Это влияет на протокол удаленного входа в систему SSH, в котором есть функция, позволяющая аутентифицировать пользователей с помощью пары открытого и закрытого ключей. Эксплойт помещает открытый ключ прямо в список разрешенных, поэтому кто-то с соответствующим ключом может войти на скомпрометированную машину с полным root-доступом — без следа.
Нет доказательств того, что у злоумышленников когда-либо была возможность воспользоваться этим, но если бы вредоносное ПО проскользнуло незамеченным, это могло бы иметь разрушительные последствия.
Заговор был сорван Андресом Фройндом, который в свободное время занимался волонтерской работой. Он заметил небольшое изменение в производительности и решил провести расследование.
Если у вас есть система с Fedora Linux 40 Beta или Fedora Rawhide, и вы применяли обновления в то время, когда скомпрометированный пакет находился в нашем репозитории для тестирования обновлений, вам следует убедиться, что он теперь отменен, и применить текущие обновления, если нет. (На момент написания этой статьи у вас должен быть xz-5.4.6.) В системах Fedora Workstation демон ssh не запускается по умолчанию, что дополнительно ограничивает возможный риск. Однако, если у вас действительно было плохое обновление в системе или вы думаете, что оно могло быть, из соображений предосторожности рекомендуется сделать полную переустановку.
В Fedora Linux 38 и 39 никогда не было даже потенциального обновления для скомпрометированного пакета, и тестовое обновление для 40 было удалено, поэтому оно никогда не входило в выпуск.
Cтереотип отката на Fedora 40 && Suse Tumbleweed сильно отличается от ситуации на Arch Linux && Manjaro Testing Branch. Backdoor был удален из xz-5.6.1-3 ( последняя актуальная версия на момент написания ) . Manjaro Linux полностью полагается на документацию и объявления в форумах Arch Linux . Смотри, например,
