-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [01-04-2024]: Vulnerabilidades nos pacotes xz-utils (LINUX) Prezados(as), O CAIS alerta a comunidade de segurança cibernética para vulnerabilidade encontrada nos pacotes do utilitário de compressão XZ, utilizado por diversas distribuições linux atualmente (CVE-2024-3094). Os utilitários de compactação de formato XZ, incluídos na maioria das distribuições Linux, podem “permitir que um ator mal-intencionado quebre a autenticação sshd e obtenha acesso não autorizado a todo o sistema remotamente”, alerta a Red Hat. 1) Produtos afetados; 2) Identificadores CVE (http://cve.mitre.org); 3) Descrição das vulnerabilidades; 4) Mitigação e correções disponíveis; e 5) Mais Informações. 1) Produtos afetados: - - Fedora 41; - - Fedora Rawhide; - - openSUSE Factory; - - openSUSE Tumbleweed; - - Distribuições Debian nas versões testing, unstable e experimental; e - - Qualquer distro que esteja executando as versões 5.6.0 e 5.6.1 do pacote xz-utils. 2) Identificadores CVE (http://cve.mitre.org): - - https://nvd.nist.gov/vuln/detail/CVE-2024-3094 (CVSS 10.0) - - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094 3) Descrição da(s) vulnerabilidade(s): - - Um código malicioso foi descoberto nos tarballs upstream do utilitário xz, a partir da versão 5.6.0. Através de uma série de ofuscações complexas, o processo de construção da biblioteca "liblzma" extrai um arquivo-objeto pré-construído de um arquivo de teste disfarçado existente no código-fonte, que é então usado para modificar funções específicas no código da "liblzma". Isso resulta em uma biblioteca "liblzma" modificada que pode ser usada por qualquer software vinculado a esta biblioteca, interceptando e modificando a interação de dados com esta biblioteca. 4) Mitigação e correções disponíveis: - - Atualize os pacotes para versões não vulneráveis ou aplique as correções disponibilizadas pelos fornecedores. - - Independente da lista de sistemas operacionais afetados, recomenda-se a busca pelos pacotes supracitados nos ambientes computacionais, bem como aplicação das medidas de mitigação em caso de identificar as versões afetadas pela presente vulnerabilidade. 5) Mais Informações: - - https://access.redhat.com/security/cve/CVE-2024-3094 - - https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/ - - https://aws.amazon.com/security/security-bulletins/AWS-2024-002/ - - https://boehs.org/node/everything-i-know-about-the-xz-backdoor - - https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024 - - https://bugs.gentoo.org/928134 - - https://bugzilla.redhat.com/show_bug.cgi?id=2272210 - - https://bugzilla.suse.com/show_bug.cgi?id=1222124 - - https://lists.debian.org/debian-security-announce/2024/msg00057.html - - https://lists.freebsd.org/archives/freebsd-security/2024-March/000248.html - - https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/ - - https://security-tracker.debian.org/tracker/CVE-2024-3094 - - https://security.alpinelinux.org/vuln/CVE-2024-3094 - - https://security.archlinux.org/CVE-2024-3094 - - https://tukaani.org/xz-backdoor/ - - https://ubuntu.com/security/CVE-2024-3094 - - https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094 - - https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils - - https://www.openwall.com/lists/oss-security/2024/03/29/4 - - https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users - - https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br https://www.rnp.br/sistema-rnp/cais # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEmWJsLogaTfQskA851Per/VOaV4AFAmYK+hsACgkQ1Per/VOa V4DAhRAAnUb4iAfNrQzREObNs9O9xdxWxhWMfVYhpTlw53pQ6DFhS2lFDwFRJWBV Nff3HrrvWlrySnJmDH1i4mDLufpy8ECwIC780ax+uGkQjgJ+Van1LMiE3drZYwcm 1Jf9rNNvCclEJ3792zVKZYB1KQ4DKSPu/EjGvscSQ0+ZI0uatxyHjH9VLt0Rmrkm vFPzGcwv1DbRxH5pXDHtW1I6jJb+1jSVEksouHlhsAGrDqQTONrZ5fkEu1Sf0gnt UfpXdmRnx1RFgh4SRFKZlwRRARytelluyXiN+V61lY02HkkRoLL7ytpoZRiCs5QC bRDDwZBx+G1HaDp418f9wJD17Z0B3w09btmsvPH4kKgJdGNmWKEYAKr+Lnm+rrK3 otuzRV8S0R9JBOOex9e9a7AOWJT4EP1Nd6OKyh8v5smkwEJv2abqezNWek94A7vg +97sQcYTetWjilr5V/wJOWPbdeSj81HAcHxs7Tsv+a2FRpHnW28yKPKtVUz6yCWC 1UWs7P50eGhBCfuLJiXfrMT4MdXlUVBweJawrtlBzDcZPJrveSZQETBSURwg8OvS ZM+YsR1Fe/lLP0ekGgE1sHF/Hcmdjq+Wi/sKlYEuFn1rBlRnRgm45WUxxNGESjQ6 x4dan9ZXpQ238L7NAAUxyxn6+V44WeYyblqKUDTMz3Bka6sQ6gU= =mNn0 -----END PGP SIGNATURE-----