XZ Utils に仕組まれたバックドアに関する覚え書き
先日から騒ぎになっている XZ Utils に仕組まれたバックドアについて覚え書きとしてブックマークをまとめておく。 最初は単なるセキュリティ脆弱性か悪意のコードかみたいな話が飛び交ってた気がするが,完全に malicious code として認知されたみたいね。 まぁ,詐欺としてはよくある話。 悪人顔の詐欺師なんかフィクションである(笑)
起こったことはしょうがないので,ユーザとしては粛々と対応するしかない。 政治的な話は知らんが,願わくばまっとうなエンジニアを非難し活動を萎縮させるような行為は止めていただきたいものである。
- XZ Utils backdoor
- NVD - CVE-2024-3094
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H- 深刻度: 緊急 (Score: 10)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更あり |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |
ただの圧縮ソフトだろ,と思うかもしれないが
影響を受けたライブラリをリンクしているsshdを使用していた場合、liblzmaの実装が改ざんされ、任意のソフトウエアを利用できるようになり、結果として外部から不正アクセスをされる恐れがある
ということで,近年話題になっているサプライチェーン攻撃としても結構ヤバい話である。 今のところ(2024-04-01 時点),対応としては影響を受けないバージョン(5.4.6など)にダウングレードするしかない。
ただし,影響を受ける Linux ディストリビューションのバージョンが少ないのは不幸中の幸いだろう。 Ubuntu は,自前で最新版を入れていない限り,現在リリースされているバージョンではいずれも影響がないようだ。
詳しい情報は以下が参考になる。
その他,参考情報:
- Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISA
- Urgent security alert for Fedora 41 and Fedora Rawhide users : Red Hat
- [SECURITY] [DSA 5649-1] xz-utils security update : Debian
- xz-utils backdoor situation (CVE-2024-3094) · GitHub
- amlweems/xzbot: notes, honeypot, and exploit demo for the xz backdoor (CVE-2024-3094)
- research!rsc: Timeline of the xz open source attack
- Xz Utils Backdoor - Schneier on Security
- Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects | OpenJS Foundation
- 広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響 | ソフトアンテナ
- Ubuntu 24.04 LTS(noble)の開発 / xz-utils問題(CVE-2024-3094)への対応のためのベータ延期とMilk-Vサポート | gihyo.jp
ブックマーク
参考図書
- スーパーユーザーなら知っておくべきLinuxシステムの仕組み
- Brian Ward (著), 柴田 芳樹 (翻訳)
- インプレス 2022-03-08 (Release 2022-03-08)
- 単行本(ソフトカバー)
- 4295013498 (ASIN), 9784295013495 (EAN), 4295013498 (ISBN)
- 評価
版元で PDF 版が買える。セキュリティ・エリアにも持ち込めるよう紙の本を買ったのだが,オンライン読書会が始まったので PDF 版も購入。Linux システムの扱い方に関するリファレンス本として優れている。最初に軽く流し読みして,必要に応じて該当項目を拾い読みしていけばいいだろう。
- ハッキング思考 強者はいかにしてルールを歪めるのか、それを正すにはどうしたらいいのか
- ブルース・シュナイアー (著), 高橋 聡 (翻訳)
- 日経BP 2023-10-12
- 単行本
- 4296001574 (ASIN), 9784296001576 (EAN), 4296001574 (ISBN)
- 評価
「AI時代にルールを味方につけるには、「正しいハッキングの考え方」が必要だ」(帯の言葉より)
- セキュリティはなぜやぶられたのか
- ブルース・シュナイアー (著), 井口 耕二 (翻訳)
- 日経BP 2007-02-15
- 単行本
- 4822283100 (ASIN), 9784822283100 (EAN), 4822283100 (ISBN)
- 評価
原書のタイトルが “Beyond Fear: Thinking Sensibly About Security in an Uncertain World” なのに対して日本語タイトルがどうしようもなくヘボいが中身は名著。とりあえず読んどきなはれ。ゼロ年代当時 9.11 およびその後の米国のセキュリティ政策と深く関連している内容なので,そのへんを加味して読むとよい。