お知らせ
CVE-2024-3094 XZ Utils の脆弱性について
2024 年 4 月 5 日
2024 年 3 月 29 日に主要な Linux ディストリビューションで広く利用されているファイル可逆圧縮ツール「XZ Utils」において脆弱性(CVE-2024-3094)が確認されました。
この脆弱性は、特定の XZ Utils のバージョンに悪意のあるコードが含まれていたため、特定の条件下において外部から ssh ポート経由で侵入されるなどの影響があるというものです。なお、MIRACLE LINUX、AlmaLinux および EMLinux においては、対象のバージョンのパッケージをリリースしていないため本脆弱性の影響を受けることはありません。
<関連 URL>
- XZ Utils に悪意のあるコードが挿入された問題(CVE-2024-3094)について
- XZ Utils backdoor:
- oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise
脆弱性の概要
Xz Utils に含まれる liblzma には、細工されたオブジェクトファイルにより liblzma がビルド時に改変されてしまう問題があるため、liblzma を用いる OpenSSH をはじめとしたソフトウェアは、バックドアを仕掛けられるなどの影響を受ける可能性があります。
影響を受けるバージョン
XZ Utils 5.6.0 および 5.6.1
MIRACLE LINUX への影響
MIRACLE LINUX では該当バージョンの XZ Utils はリリースしていないため影響ありません。
AlmaLinux への影響
AlmaLinux では該当バージョンの XZ Utils はリリースしていないため影響ありません。
<関連 URL>
EMLinux への影響
EMLinux では該当バージョンの XZ Utils はリリースしていないため影響ありません。
2024/04/05 現在での各 OS バージョンで採用されている XZ Uitls バージョン
| MIRACLE LINUX の各メジャーバージョン | インストールされている XZ Utils のバージョン |
|---|---|
| MIRACLE LINUX V7 | 5.2.2-2 |
| MIRACLE LINUX 8 | 5.2.4-4 |
| MIRACLE LINUX 9 | 5.2.5-8 |
| AlmaLinux の各メジャーバージョン | インストールされている XZ Utils のバージョン |
|---|---|
| AlmaLinux 8 | 5.2.4-4 |
| AlmaLinux 9 | 5.2.5-8 |
| EMLinux の各メジャーバージョン | インストールされている XZ Utils のバージョン |
|---|---|
| EMLinux 2.x | 5.2.4-1+deb10u1 |
| EMLinux 3.x | 5.4.1-0.2 |
xz のバージョンの確認方法
MIRACLE LINUX および AlmaLinux においては、rpm コマンドを用いて xz のバージョンを確認してください。
$ rpm -q xz xz-5.2.5-7.el9.x86_64
EMLinux においては、OS イメージのビルド後に生成される manifest ファイルを参照して xz-utils(xz, liblzma) のインストール有無およびバージョンを確認してください。
xz のバージョンが 5.6.0-1 よりも古いバージョンであれば CVE-2024-3094 の脆弱性の影響を受けません。
なお、当社における関連事業の取り組みに変更はありません。
