XZ Utils に悪意のあるコードが挿入された問題
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・発見された脆弱性の内容
・悪意のあるコードを発見する方法
今回の解説ニュース
ファイル圧縮ツールに脆弱性が発見されています。ご利用中の方は別のファイル圧縮ツールの利用を検討してください。発見された脆弱性の内容と、悪意のあるコードを発見する方法について説明します。
今回の脆弱性は、複数のLinuxディストリビューションなどで利用されているファイル可逆圧縮ツール XZ Utils に悪意のあるコードが挿入されたというものです。影響を受けるシステムはXZ Utils 5.6.0 および 5.6.1です。影響として、特定条件下でSSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性があるということです。
深刻度を表すCVSSv3の基本値は10.0で、最も高い「緊急」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-3094」で検索してみてください。
発見された脆弱性の内容
XZ Utilsは広く使われているツールなので、大きな影響が発生する可能性があります。また、影響を受けるソフトウェアを利用しているか確認する方法についても、注意が必要です。
XZ UtilsはLinuxやmacOSで広く使われているファイル圧縮ツールです。多くのファイル圧縮ツールでXZ形式の圧縮や解凍に対応するためにもXZ Utilsが利用されています。また、XZ Utilsはオープンソースで誰でも無料で利用できるため、多くの人や組織が使っている可能性があります。
脆弱性を含むバージョンを使っているか確認する方法は複数ありますが、XZ Utilsを起動して確認することは絶対に避けましょう。理由として、すでに侵害されたバージョンのXZ Utilsを使っていた場合、脆弱性の影響を受ける可能性があるからです。当該ソフトウェアの情報を確認する場合は、各種パッケージ管理ソフトを利用するか、各OS提供元から公開されている情報を参照するようにしてください。