Puerta trasera en xz/liblzma en Linux (CVE-2024-3094)
Las siguientes distribuciones de Linux parecen estar entre las afectadas3:
* Pruebas de Debian
* Debian inestable
* Fedora 40 (delvis2)
*Fedora 41
* Fedora de cuero crudo
* Planta rodadora OpenSUSE
* Kali rodando
NCSC recomienda a las empresas que utilizan las distribuciones de Linux anteriores que degraden inmediatamente xz a una versión anterior a la 5.6.0 (por ejemplo, 5.4.6).4y actualice a una versión nueva y segura de xz tan pronto como esté disponible. Para obtener dicha información, consultamos los sitios web y las listas de correo electrónico de las respectivas distribuciones.
Si no puede degradar xz o actualizar a una versión segura, le recomendamos al menos asegurarse de que no se pueda acceder a las máquinas afectadas a través de SSH desde Internet, o desconectar completamente las máquinas afectadas de Internet hasta que se pueda restaurar un estado seguro.
Actualmente existe incertidumbre sobre qué hace exactamente la puerta trasera y qué tipo de requisitos previos se requieren para su explotación, pero como mínimo el código malicioso se ejecuta al autenticarse a través de SSH en un sistema comprometido. Sin embargo, no está claro si esto abre alguna forma de acceso o ejecución adicional de código.2.
Parece que la puerta trasera se descubrió antes de su eventual distribución a la pila de Red Hat (RHEL), Ubuntu y Debian. Además, el NCSC tiene información que, i.a. Alpine y Arch no se ven afectados debido a la falta de parcheo de openssh para usar libsystemd. Además, la puerta trasera sólo parece funcionar en sistemas basados en glibc.1.
El NCSC no tiene conocimiento de la explotación o uso activo de la puerta trasera, pero espera que esto cambie en el futuro.
Referencias:
1https://www.openwall.com/lists/oss-security/2024/03/29/4
2https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users