개요
XZ Utils 라이브러리에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다.
대상 제품
– XZ Utils 5.6.0, 5.6.1 버전
– Kali Linux(3월 26일에서 29일 사이)
– openSUSE Tumbleweed 및 openSUSE MicroOS(3월 7일에서 28일 사이)
– Debian testing, unstable, and experimental 버전(5.5.1alpha-0.1에서 5.6.1-1 버전까지)
– Fedora 41 및 Fedora Rawhide
해결된 취약점
악의적으로 수정된 liblzma 라이브러리가 생성되어 XZ Utils와 연결된 모든 소프트웨어에서 관련 데이터의 상호작용을 가로채고 수정할 수 있는 취약점 (CVE-2024-3094, CVSS 10.0)
취약점 조치
해당하는 버전의 제품 사용자는 다운그레이드를 적용하시기 바랍니다.
Fedora Linux 40의 경우 5.4 빌드로 다운그레이드
XZ Utils 5.4.6 Stable로 다운그레이드
참고 사이트
[1] CVE-2024-3094 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
[2] Backdoor found in widely used Linux utility breaks encrypted SSH connections
[3] Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094
[4] Are You Affected by the Backdoor in XZ Utils?
https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils
[5] Frequently Asked Questions About CVE-2024-3094, A Backdoor in XZ Utils