Уязвимость в утилите xz Utils «позволяет злоумышленнику нарушить аутентификацию sshd и получить удаленный несанкционированный доступ ко всей системе», предупреждает компания Red Hat, производитель операционных систем на основе Linux. Вредоносный код использовался не менее месяца, но не успел попасть в стабильные версии операционных систем, заявляют разработчики.
xz Utils — пакет утилит, который используется для сжатия данных в Unix-подобных операционных системах и, начиная с версии 5.0, Microsoft Windows. Уязвимость случайно обнаружил Андрес Фройнд, программист из Microsoft, при тестировании версии Debian, которая находится в разработке. Фройнд заметил, что вход в систему по SSH потребляет слишком много ресурсов процессора и выполняется слишком медленно.
Анализируя причины ошибки программист обнаружил, что проблема заключалась в библиотеке сжатия данных liblzma, которая является частью пакета xz Utils. Специалисты Red Hat пришли к выводу, что вредоносный код, который нарушает целостность SSH соединения и, по-видимому, предназначен для обеспечения несанкционированного доступа, присутствует в версиях 5.6.0 и 5.6.1 xz Utils. Версии были выпущены в конце февраля и начале марта соответственно и успели попасть в разрабатываемые и бета-версии операционных систем.
Red Hat подтвердила, что Fedora Rawhide (текущая разрабатываемая версия) и бета-версия Fedora Linux 40 содержат уязвимые версии библиотеки. При этом ни одна версия Red Hat Enterprise Linux (RHEL) не содержит уязвимостей. В компании также утверждают, что в Fedora Linux 40 вредоносный код работает некорректно, поэтому системы, которые используют эту бета-версию, не пострадали. Тем не менее специалисты по безопасности рекомендуют прекратить использовать Rawhide, а пользователям Fedora Linux 40 — откатить версию библиотек до версии 5.4.
Также сообщается, что уязвимую версию библиотеки включали openSUSE Tumbleweed и openSUSE MicroOS с 7 по 28 марта. В сообщении на сайте проекта пользователям, которые устанавливали эти версии, рекомендуется обновиться до последней версии, выпущенной 28 марта. При этом разработчики также заявляют, что промышленные версии SUSE Linux Enterprise и Leap не были затронуты атакой.
О наличии уязвимостей в бета-версиях или дистрибутивах, которые находятся в разработке, также сообщили разработчики Debian, Kali Linux, Arch Linux. При этом Ubuntu сообщает, что эта проблема не затронула ни одну выпущенную версию Ubuntu. Также вредоносное ПО, по словам разработчиков, не использовали Linux Mint, Gentoo Linux, Amazon Linux и Alpine Linux.
