A Red Hat figyelmeztette a felhasználókat, hogy fejezzék be a Fedora fejlesztői és kísérleti verzióit futtató rendszerek használatát, mert az XZ Utils legújabb verzióiban backdoor található.
A Red Hat most CVE-2024-3094 néven követi nyomon a biztonsági problémát, és 10/10-es kritikus súlyossági pontszámot rendelt hozzá. A rosszindulatú kód obfuszkált, és csak a teljes letöltési csomagban található meg, a Git disztribúcióban nem, amelyből hiányzik az M4 makró, amely a backdoor építési folyamatát indítja el. Megfelelő körülmények között lehetővé teheti egy rosszindulatú szereplő számára, hogy távolról feltörje az sshd hitelesítést, és jogosulatlan hozzáférést szerezzen a teljes rendszerhez.
A szakértők hozzátették, hogy a Fedora 40 Linux nem tűnik érintettnek, arra biztatnak minden Fedora 40 Linux béta felhasználót, hogy térjenek vissza az 5.4.x verziókra.
A Fedora Rawhide hamarosan visszaáll az xz-5.4.x-re, és amint ez megtörténik, a Fedora Rawhide példányok is újra biztonságosan használhatóak.
Az XZ egy népszerű adattömörítési formátum, amely szinte minden közösségi és kereskedelmi Linux disztribúcióban megtalálható.
A Debian biztonsági csapata is kiadott egy tanácsadást, amelyben figyelmezteti a felhasználókat a problémára. A tanácsadás szerint egyetlen stabil Debian verzió sem használja a kompromittált csomagokat, és az érintett Debian testing, unstable és experimental disztribúciókban az XZ-t visszaállították az 5.4.5 verzióra.
A Kali Linux, az openSUSE és az Arch Linux szintén biztonsági tanácsadást tett közzé, és visszaállt a nem kompromittált verzióra az érintett kiadásokban.
Kostas kiberbiztonsági kutató megosztott egy shell scriptet, amivel lekérdezhető, hogy az XZ melyik verziója van telepítve:
for xz_p in $(type -a xz | awk '{print $NF}' | uniq); do strings "$xz_p" | grep "xz (XZ Utils)" || echo "No match found for $xz_p-hez"; done
A rosszindulatú backdoor kódot állítólag a projekt egyik karbantartója, Jia Tan (más néven Jia Cheong Tan vagy JiaT75) szándékosan építette be, ami egy több éven át tartó, aprólékos támadásnak tűnik. A GitHub felhasználói fiókot 2021-ben hozták létre.
A CISA is közzétett egy tanácsadást, amelyben a fejlesztőknek és a felhasználóknak azt javasolja, hogy álljanak vissza egy nem kompromittált XZ verzióra (5.4.6 Stable).
