XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog

2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh

[rna]

「0.5秒の遅延から発覚」恐ろしく僅かな遅延 オレなら見逃しちゃうね！

[BlueSkyDetector]

なぜ影響を受けるのがRHEL（Fedora）、Debianのみなのかは、ビルド時に「if test -f "$srcdir/debian/rules" || test "x$RPM_ARCH" = "xx86_64";then」の時のみ有効になるかららしい。 https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

[sho]

"不正なliblzmaライブラリを読み込んだ状態でssh経由でのログインが大幅（約0.5秒）に遅延することを発見" こんなん「今日はなんかネットが遅いな～」くらいしか思わんだろ。なぜこれに気づけるんだ

[KoshianX]

こんな時間をかけてコミット権限を確保して犯行に及んだというのすさまじいな。元のメンテナの精神衛生も利用したというのこれホントに計画的にやったことなんだろうかなあ……

[gowithyou]

悪意あるコードを埋め込んだJia Tanなる人物、中国人に成りすました情報工作機関かとおもったけど、コミット履歴から国慶節にはしっかり休みを取っているから本当に中共の仕業の可能性もあるんだよな

[t-tanaka]

OSS全体を揺るがす大事件。コントリビュートする人の身元調査をする負荷まで抱えこんでしまったら，多くのプロジェクトが頓挫しかねない。

[r-west]

これ、中の人は複数いて、UTC+8のタイムゾーン。このチームは今頃、中共のボスからお仕置きくらってるんだろうか。そして、他には、何チームくらいあるんだろうか。。

[rryu]

ビルドプロセス中にテスト用の圧縮ファイルからオブジェクトファイルを生成してリンクするのでソースコード上には何もないという仕掛けなのか。圧縮系ライブラリを狙ったのはその方法からか…

[unmarshal]

'tr "\t \-_" " \t_\-"' 体制が厚いOSSのPRでこんなコードが入ってたら即締め出されると思うけど、このあたりAIで警告とか出来そうではある。

[ysync]

ソースそのものには入れ込まれてなく、公式からのリンクのtarボールに難読化して混入（伝聞）というのが悪意マシマシでな。／安全な確認で推奨されるstringsはbinutils入れてないと入ってないのか。ただbusyboxには有るな。

[tmatsuu]

よい

[petitbang]

発見者は0.5秒の遅延から異常に気が付いたわけではなく、偶々ベンチマーク中に他のプロセスを止めてたらsshdがえらくCPUリソースを消費→調査でliblzmaに行きつく→liblzmaありのsshdはログインが0.5秒遅延したって話。

[nilab]

「Andres Freund氏は 不正なliblzmaライブラリを読み込んだ状態でssh経由でのログインが大幅（約0.5秒）に遅延することを発見していた」

[minamihiroharu]

ダークウェブ辺りにこういった「工作結果」情報が束になって売られてそうで嫌だなあ。

[nP8Fhx3T]

こうしてみるとOSSって意図的な脆弱性がどれどけ仕込まれてるかいくらでも疑えるな

[lainof]

“RHEL（Fedora）”って正しい表記？RHELは影響ないみたいだけど。https://access.redhat.com/security/cve/CVE-2024-3094

[fhvbwx]

氷山の一角でなければよいのだが

[adsty]

Linux向けの圧縮ツールに悪意のあるバックドアが仕込まれていた。

[leiqunni]

入りたいサーバがあるなら別だけど、自分しか知らないバックドアをある程度仕込めたとしても、マネタイズはむつかしいはー

[ducky19999]

こええ

[IGA-OS]

サプライチェーン攻撃

[xlinux2020]

バージョン確認のスクリプト、そのままコピペしただけじゃ失敗すると思ったら「LANG=C」が必要なのね。for xz_p in $(LANG=C type -a xz|awk '{print $NF}'|uniq) ; do strings "$xz_p" | grep "xz (XZ Utils)" || echo "No match found for $xz_p"; done

[tk58147]

“脆弱性の影響が確認されたバージョンは5.6.0、5.6.1”

[np-x]

libarchiveのPRを見たがわざと脆弱なprint関数を使っていて、これは確かに真っ黒だなと感じた。OSSで公開されている範囲でこれなので、中華スマホや中華クラウドなどは本当に何が入っているかわからない。

[kzmts]

2週間前に仕事で検証用AlmalLinuxサーバーを構築した際、最新のパッケージを適用していたから出勤して直ぐに調査。問題のXZ Utilsは含まれてなくて安心した。

[hkanemat]

中共が得意とするサラミ戦術か

[sh2]

大事件。同様の細工がされていてまだ発覚していないOSSがあるのではないかと心配

[raitu]

“Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性”

[cu39]

コミット・リリースに至る背景まで詳細に伝わってるせいかドラマティックなものを感じる脆弱性。

[gurukuchi]

日本の自称it企業は、あとはよろしくと他人に丸投げしかできない、中間管理職だらけだから。セキュリティ案件もメール転送するだけなのに給料稼ぐ奴ばかり

[defiant]

まとまっている

[syamatsumi]

経緯を見る限りはソーシャルハックって感じですな……　怖い話や……

[shoh8]

とりあえずhomebrewだけ直して、様子見かなあ商用ディストリには混入なさそうだし

[sonots]

まとまってるので後で読む

[pekee-nuee-nuee]

すっご

[t_f_m]

あとで / ざっとコメント見る分だけでもだいぶヤバそう