روز جمعه 29 مارس، آندرس فروند، کارمند مایکروسافت به اشتراک گذاشت که علائم عجیبی را در بسته xz در نصب های دبیان پیدا کرده است. فروند متوجه شد که ورود به سیستم ssh به CPU زیادی نیاز دارد و تصمیم گرفت در مورد این کشف تحقیق کند.
این آسیبپذیری حداکثر رتبهبندی امنیتی را با امتیاز CVS 10 و رتبهبندی امنیت محصول Red Hat دریافت کرده است.
Red Hat این مشکل را به CVE-2024-3094 اختصاص داد، اما بر اساس شدت و یک باگ بزرگ قبلی که Heartbleed نام داشت، جامعه با گستاخانه این آسیبپذیری را یک نام مبتذلتر نامگذاری کرده و نشان Heartbleed را وارونه کرده است.
خوشبختانه این آسیبپذیری زود تشخیص داده شده است
Red Hat نوشت: "کدهای مخرب در تاربال های بالادست xz کشف شد که با نسخه 5.6.0 شروع شد. از طریق یک سری مبهم سازی های پیچیده، فرآیند ساخت liblzma یک فایل شی از پیش ساخته شده را از یک فایل آزمایشی مخفی موجود در کد منبع استخراج می کند. که سپس برای اصلاح توابع خاص در کد liblzma استفاده می شود. این منجر به یک کتابخانه liblzma اصلاح شده می شود که می تواند توسط هر نرم افزار مرتبط با این کتابخانه استفاده شود و تعامل داده با این کتابخانه را رهگیری و اصلاح کند."
تزریق مخرب را فقط در بسته دانلود tarball کتابخانه های xz نسخه های 5.6.0 و 5.6.1 می توانید پیدا کنید. توزیع Git شامل ماکرو M4 نمی شود که کد را راه اندازی می کند. در صورت وجود ماکرو مخرب M4، مصنوعات مرحله دوم در مخزن Git برای تزریق در طول زمان ساخت وجود دارند. بدون ادغام در ساخت، فایل مرحله دوم بی ضرر است.
توصیه می شود xz نسخه 5.6.0 یا 5.6.1 را در توزیع های زیر تحلیل کنید و به 5.4.6 تنزل دهید. اگر نمی توانید، سرورهای SSH رو به رو عمومی را غیرفعال کنید.
ارسال نظر