.
A Red Hat emitiu um alerta de segurança urgente hoje para usuários do Fedora Linux 40, Fedora Linux 41 e Fedora Rawhide sobre uma falha de segurança nos pacotes XZ Utils 5.6.0 e 5.6.1 que poderia permitir acesso remoto não autorizado via SSH.
Parece que os tarballs upstream do pacote XZ Utils 5.6.0, que é distribuído via GitHub ou o projeto website oficialincluía alguns arquivos .m4 extras que continham instruções para construir o software com uma versão do GNU Automake que não existia no repositório.
Durante a compilação da biblioteca liblzma, um arquivo objeto pré-construído é extraído de um dos arquivos de teste e usado para modificar funções específicas no código do XZ Utils. Como a biblioteca liblzma está sendo usada por softwares como o sshd, ela pode ser usada por um agente mal-intencionado para obter acesso remoto ao sistema vulnerável.
“A compilação maliciosa resultante interfere na autenticação no sshd via systemd”, diz o comunicado de segurança. “Sob as circunstâncias certas, essa interferência poderia permitir que um agente mal-intencionado quebrasse a autenticação sshd e obtivesse acesso não autorizado a todo o sistema remotamente.”
A Red Hat alerta os usuários sobre FedoraLinux 40 beta, Fedora Linux 41 (pré-alfa) e usuários do Fedora Rawhide parem de usar seus sistemas para uso comercial ou pessoal. Os sistemas Fedora Linux 41 e Fedora Rawhide já incluem os pacotes XZ afetados, mas também parece que eles foram fornecidos aos usuários beta do Fedora Linux 40 hoje cedo.
Para usuários do Fedora Linux 40 beta, há uma atualização que reverte o pacote XZ para a versão 5.4.x e deve estar disponível aos usuários através do sistema de atualização normal. Para forçar a atualização, você deve executar o comando abaixo em um emulador de terminal ou seguir as instruções de aqui.
sudo dnf upgrade --refresh --advisory=FEDORA-2024-d02c7bb266Embora os usuários do Fedora possam ser afetados, a Red Hat afirma que esta falha de segurança não afeta nenhuma das versões do Red Hat Enterprise Linux. Outras distribuições GNU/Linux fornecidas com o XZ Utils 5.6.0 ou versões posteriores também devem ser afetadas, mas nenhuma das distros estáveis conhecidas inclui essas versões mais recentes do XZ Utils.
A boa notícia para os usuários beta do Fedora Linux 40 é que as imagens ISO ao vivo vêm com o XZ 5.4.6, que não é afetado por esse problema. No entanto, a má notícia é que a atualização mais recente do XZ 5.6.0 será instalada automaticamente se você atualizar sua instalação, então NÃO atualize suas instalações se você tiver o XZ 5.4.6.
Se você tiver o XZ 5.6.0 instalado (verifique com sudo dnf install xz), o comando acima agora funciona para sistemas Fedora Linux 40 beta e fará o downgrade do pacote para a versão 5.4.6, excluindo a versão 5.6.0 do seu sistema. No momento em que este artigo foi escrito, o XZ 5.6.0 não é mais oferecido como uma atualização para usuários beta do Fedora Linux 40.
Devo também observar o fato de que esta vulnerabilidade afeta apenas sistemas de 64 bits (x86_64).
Andres Freund explica em detalhes aqui como esta vulnerabilidade afeta o seu sistema, que ele testou no Debian Sid (Instável). A Red Hat também disse que os usuários das distribuições openSUSE também serão afetados e que a SUSE já publicou um procedimento de downgrade aqui para aqueles que instalaram o pacote XZ vulnerável.
Os usuários do Kali Linux foram afetados por esta vulnerabilidade entre 26 e 29 de março. A Offensive Security agora também avisa os usuários do Kali Linux para atualizarem sua instalação o mais rápido possível para aplicar os patches mais recentes, caso tenham atualizado seus sistemas em ou após 26 de março.
Agora existe um script criado por Vegard Nossum que verifica seu sistema para ver se o binário ssh está vulnerável ou não. Você pode baixá-lo em aqui e use-o com o sh detect_sh.bin comando em uma janela de terminal. Assim!
Agora, o Projeto openSUSE emitiu um comunicado sobre a vulnerabilidade encontrada na biblioteca de compressão XZ e como ela é abordada na distribuição openSUSE Tumbleweed.
História em desenvolvimento…
Última atualização há 15 segundos
.
