xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG

03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 （SBOMの話、VEXの話はこちら）。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:45更新】情報が纏まっているサイトを更新しました。また、piyologさんからリンクを貼っていただいていたので、こちらも載せています。その他、「xz –version」を実行するのもだめという話

[defiant]

まだ情報が更新されていってる

[tetsutalow]

ご丁寧に難読化されてるんでパっと見わからんという…とても厄介で根が深い。でもこれでも見つけられるのだから、やっぱりOSSがありがたい。多重下請けに出してるベンダがバックドア埋められて気付ける？？

[nicht-sein]

ソースがオープンだったからコード追えたのでOSSだから見つかったで良いとは思う。プロプライエタリだったら作者が何をしようと基本分からない。OSSだからバックドア埋め込めると犯行に及んだ可能性も高いんだけど

[bopperjp]

スパイ映画じゃん。wktkが止まらん。

[r-west]

当然だがざっと見では全然わからん。今回は偶然にも細かく性能調べた人が居て見つかったが、一匹見たら30匹は居るというし…。

[kenkoudaini]

今後.xz形式は使用禁止になるのでは？

[fhvbwx]

伽藍でもバザールでも難読化された商品が普通に売られてしまうという悲劇

[Hazel]

年月日の順番がアメリカ式なのに日本特有のスラッシュ区切りという気持ち悪さ。

[nakag0711]

アルファベットの略語よりは漢語を使った方がまだわかりやすい

[Shinwiki]

dnf-automaticにお任せします…週明けにはきれいになってますように。

[t-tanaka]

なんか，どんどん話がきな臭くなってる。JiaT75は，自身のLinkedInでカリフォルニア在住と言っているが，Commitログから彼がUTC+8のTZで活動していることが判明しており，中国だ……とか。

[hatebu_admin]

特定条件下でのbugがありsshdのCPU使用率急増→あれれ～おっかしいぞ～↑で調べて発見みたいな話じゃあ、本当にただの偶然でしかなくてOSSだからで発見できたとは思えんが