Andres Freund publicerade igår en detaljerad undersökning om en bakdörr som levererades med versionerna 5.6.0 och 5.6.1 av komprimeringsverktyget xz. Det verkar som att den skadliga koden kan vara avsedd att tillåta att SSH-autentisering kan kringgås.
Sårbarheten har fått namnet CVE-2024-3094.
De påverkade versionerna har ännu inte distribuerats brett, men förekommer bl.a. i flera beta-utgåvor av populära Linux-distributioner.
Vi har precis som alltid, när sådana här sårbarheter publiceras, agerat omgående för att minimera risken för att sårbarheten ska kunna utnyttjas. Inget av våra system använder den sårbara versionen, och påverkas alltså inte av sårbarheten.
Vi rekommenderar att kontrollera så att den sårbara versionen inte används på egna servrar, t.ex. virtuella servrar i Oderland Cloud. Den sårbara versionen av xz har främst noterats i operativsystemen Arch Linux, Fedora 40 och 41 samt openSUSE Tumbleweed som samtliga publicerat instruktioner för åtgärder. Men tänk även på att den sårbara versionen kan förekomma i t.ex. container-images (så som för Docker eller Podman).
Debian och Red Hat har bekräftat att sårbarheten inte påverkar några av deras stabila utgåvor, utan enbart förekommer i deras beta-utgåvor (som ej är avsedda för produktionssystem).
Mer information om sårbarheten finns bl.a. i artikeln Backdoor found in widely used Linux utility breaks encrypted SSH connections på Ars Technica.