Avviso di sicurezza urgente per gli utenti di Fedora Linux 40 e Fedora Rawhide

Nessuna versione di Red Hat Enterprise Linux (RHEL) è interessata da questo CVE.

Aggiornamento del 30 marzo 2024: abbiamo stabilito che la versione beta di Fedora Linux 40 contiene due versioni interessate delle librerie xz: xz-libs-5.6.0-1.fc40.x86_64.rpm e xz-libs-5.6.0-2.fc40.x86_64.rpm. Al momento, Fedora 40 Linux non sembra essere interessato dall'effettivo exploit del malware, ma consigliamo a tutti gli utenti di Fedora 40 Linux beta di tornare alle versioni 5.4.x.

Nota del redattore: questo post è stato aggiornato per illustrare con maggior chiarezza le versioni interessate di Fedora Linux e aggiungere ulteriori metodi di mitigazione.

Ieri, Red Hat Information Risk and Security e Red Hat Product Security hanno appreso che le versioni più recenti degli strumenti e delle librerie "xz" contengono codice dannoso che potrebbe consentire l'accesso non autorizzato. Nello specifico, questo codice è presente nelle versioni 5.6.0 e 5.6.1 delle librerie. A seconda delle tempistiche di aggiornamento dei sistemi, gli utenti di Fedora Linux 40 potrebbero aver ricevuto la versione 5.6.0. Gli utenti di Fedora Rawhide potrebbero aver ricevuto la versione 5.6.0 o la versione 5.6.1. Questa vulnerabilità è identificata come CVE-2024-3094.

INTERROMPERE IMMEDIATAMENTE L'UTILIZZO DI QUALSIASI ISTANZA DI FEDORA RAWHIDE per attività lavorative o personali. A breve Fedora Rawhide verrà ripristinato alla versione xz-5.4.x. A partire da quel momento, sarà possibile ridistribuire con sicurezza le istanze di Fedora Rawhide. Fedora Rawhide è la distribuzione di sviluppo di Fedora Linux e costituisce la base per le future build di Fedora Linux (nel caso specifico, di Fedora Linux 41, che non è ancora stata rilasciata).

Al momento, le build di Fedora Linux 40 non sembrano essere state compromesse. Riteniamo che l'iniezione di codice dannoso non abbia avuto effetto su queste build. Tuttavia, per garantire la propria sicurezza, gli utenti di Fedora Linux 40 dovrebbero comunque eseguire il downgrade a una build 5.4. Di recente è stato pubblicato un aggiornamento che ripristina xz alla versione 5.4.x. Tale aggiornamento è disponibile agli utenti di Fedora Linux 40 tramite il sistema di aggiornamento standard. Gli utenti interessati possono forzare l'aggiornamento seguendo le istruzioni disponibili all'indirizzo https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266.

Aggiornamento del 30 marzo 2024: abbiamo stabilito che la versione beta di Fedora Linux 40 contiene due versioni interessate delle librerie xz: xz-libs-5.6.0-1.fc40.x86_64.rpm e xz-libs-5.6.0-2.fc40.x86_64.rpm. Al momento, Fedora 40 Linux non sembra essere interessato dall'effettivo exploit del malware, ma consigliamo a tutti gli utenti di Fedora 40 Linux beta di tornare alle versioni 5.4.x.

Cos'è xz?

xz è un formato di compressione dei dati generico presente in quasi tutte le distribuzioni Linux, sia nei progetti della community che nelle distribuzioni di prodotti commerciali. In sostanza, aiuta a comprimere (e poi a decomprimere) formati di file di grandi dimensioni in dimensioni più piccole e gestibili, facilitandone la condivisione tramite trasferimenti di file.

Cos'è il codice dannoso?

L'iniezione di malware presente nelle librerie delle versioni 5.6.0 e 5.6.1 di xz è offuscata e inclusa per intero solo nel pacchetto di download; la distribuzione Git non presenta la macro M4 che attiva la creazione del codice dannoso. Gli artefatti della seconda fase sono presenti nel repository Git per essere iniettati durante la fase di compilazione nel caso in cui sia presente anche la macro M4 dannosa.

La build dannosa risultante interferisce con l'autenticazione in sshd tramite systemd. SSH è un protocollo comunemente utilizzato per la connessione remota ai sistemi e sshd è il servizio che consente l'accesso. Nelle giuste circostanze, questa interferenza può potenzialmente consentire a un malintenzionato di violare l'autenticazione sshd e ottenere l'accesso non autorizzato all'intero sistema da remoto.

Quali distribuzioni sono interessate da questo codice dannoso?

Le indagini in corso indicano che i pacchetti interessati sono presenti solo in Fedora 40 e Fedora Rawhide, nell'ecosistema della community di Red Hat.

Abbiamo resoconti e prove della riuscita delle iniezioni nelle versioni 5.6.x di xz realizzate per Debian Unstable (Sid). Potrebbero essere interessate anche altre distribuzioni. Si invitano gli utenti di altre distribuzioni a consultare i propri distributori per ricevere assistenza.

Cosa devo fare se eseguo una distribuzione interessata?

Devi interrompere immediatamente l'utilizzo di Fedora 40 o Fedora Rawhide sia per le attività personali sia per quelle aziendali, fino a quando non ti è possibile eseguire il downgrade della versione xz. Se stai utilizzando una distribuzione interessata in un ambiente aziendale, ti invitiamo a contattare il tuo team responsabile della sicurezza informatica per i passaggi successivi.

Inoltre, per coloro che eseguono distribuzioni openSUSE, SUSE ha pubblicato una procedura di downgrade all'indirizzo https://build.opensuse.org/request/show/1163302.