Red Hat은 24.03.29에 XZ Utils 압축 라이브러리 5.6.0, 5.6.1에 무단 원격 액세스를 허용하도록 백도어가 설치되었음을 경고하는 “긴급 보안 경고”를 발표했다.
https://access.redhat.com/security/cve/cve-2024-3094#cve-cvss-v3
대부분의 배포판은 영향을 받지 않지만 혹시 모르니 아래 내용을 확인해 볼 것을 권장한다.
배포판 정보
• Red Hat – 안정적이며 취약하지 않음
https://access.redhat.com/security/cve/cve-2024-3094#cve-cvss-v3
• Debian – 안정적이며 취약하지 않음
https://security-tracker.debian.org/tracker/CVE-2024-3094
• SUSE – 안정적이며 취약하지 않음
https://www.suse.com/security/cve/CVE-2024-3094.html
• Kali – 영향을 받았지만 익스플로잇이 확인되지 않음
https://pkg.kali.org/pkg/xz-utils
• Arch – 영향을 받았지만 익스플로잇이 확인되지 않음
https://archlinux.org/packages/?sort=&q=xz&maintainer=&flagged
그러나 익스플로잇 여부는 논쟁의 여지가 있음:
https://x.com/The_Nikomo/status/1773834629566361719?s=20
• Homebrew – 영향을 받지만 악용 가능성은 낮음
https://x.com/bcrypt/status/1773792762908786770?s=20
• FreeBSD – 영향을 받지 않음
https://lists.freebsd.org/archives/freebsd-security/2024-March/000248.html
• Amazon Linux – 영향을 받지 않음
https://aws.amazon.com/security/security-bulletins/AWS-2024-002
요약
- XZ 패키지(패키지 관리자에서는 xz-utils로 표시됨)가 백도어를 설정하는 공급망 장악을 통해 위협받았다.
- 영향을 받는 버전은 5.6.0 및 5.6.1이다. 최신 우분투 23.10은 5.4.1을 사용하며, 개발 버전에만 이 문제가 있었고 다운그레이드되었다. (우분투의 경우 여기를 참고)
- RHEL은 어떤 버전도 최신 xz 버전을 사용하고 있지 않다. (Red Hat의 경우 여기를 참고) (SUSE의 경우 여기를 참고)
- Kali와 Arch가 영향을 받았다. (Kali의 경우 여기를 참고, 3월 26일 버전이 영향을 미침) (Arch는 여기를 참고, 2월 24일 버전이 영향을 미침)
- 가장 쉽게 확인하는 방법은 Linux 패키지 관리자를 사용하여 사용 중인 버전을 확인하는 것이다.
- sshd에서 사용하는 라이브러리에 존재하는 취약한 기능을 보다 세부적으로 확인하는 스크립트를 사용하여 확인하는 방법도 있다. (아래에 스크립트 내용 있음)
영향을 받는지 확인하는 방법 (스크립트 이용)
1.
nano detect.sh2. 아래 코드를 붙여넣고 저장 후 종료
#! /bin/bash
set -eu
# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi
# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi3.
chmod +x detect.sh4.
./detect.sh