Fedora Linux 40 および Fedora Rawhide ユーザー向けの緊急セキュリティアラート

Red Hat Enterprise Linux (RHEL) はどのバージョンもこの CVE の影響を受けません。

2024 年 3 月 30 日更新：Fedora Linux 40 ベータ版に、影響を受ける 2 つのバージョンの xz ライブラリ (xz-libs-5.6.0-1.fc40.x86_64.rpm と xz-libs-5.6.0-2.fc40.x86_64.rpm) が含まれていることを確認しました。現時点では、Fedora 40 Linux に対する実際のマルウェア攻撃は確認されていませんが、Fedora 40 Linux ベータ版の全ユーザーが 5.4.x バージョンに戻すことをお勧めします。

編集者注：影響を受けるバージョンの Fedora Linux をより明確にし、緩和策を追加するためにこの記事を更新しました。

Red Hat 情報リスクおよびセキュリティと Red Hat 製品セキュリティは昨日、最新バージョンの「xz」ツールおよびライブラリに、不正アクセスの許可を目的としていると思われる悪意のあるコードが含まれていることを把握しました。具体的には、このコードはバージョン 5.6.0 および 5.6.1 のライブラリに存在します。Fedora Linux 40 のユーザーは、システム更新のタイミングによっては、バージョン 5.6.0 を受け取っている可能性があります。Fedora Rawhide ユーザーはバージョン 5.6.0 または 5.6.1 を受け取っている可能性があります。 この脆弱性には CVE-2024-3094 が割り当てられました。

事業用途であるか個人用途であるかにかかわらず、Fedora Rawhide インスタンスの使用を直ちに停止してください。Fedora Rawhide はまもなく xz-5.4.x に戻されます。その完了後は、Fedora Rawhide インスタンスを安全に再デプロイできます。Fedora Rawhide は Fedora Linux の開発ディストリビューションであり、将来の Fedora Linux ビルド (この場合はまだリリースされていない Fedora Linux 41) の基盤となっています。

現時点では、Fedora Linux 40 ビルドの侵害は確認されていません。 これらのビルドは、悪意のあるコードのインジェクションによる影響は受けなかったと考えています。ただし安全を確保するために、Fedora Linux 40 ユーザーは 5.4 ビルドにダウングレードしてください。xz を 5.4.x に戻す更新が最近公開され、Fedora Linux 40 ユーザーが通常の更新システムを通じて利用できるようになっています。心配なユーザーは以下のページの手順に従って強制的に更新することができます。https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266

2024 年 3 月 30 日更新：Fedora Linux 40 ベータ版に、影響を受ける 2 つのバージョンの xz ライブラリ (xz-libs-5.6.0-1.fc40.x86_64.rpm と xz-libs-5.6.0-2.fc40.x86_64.rpm) が含まれていることを確認しました。現時点では、Fedora 40 Linux に対する実際のマルウェア攻撃は確認されていませんが、Fedora 40 Linux ベータ版の全ユーザーが 5.4.x バージョンに戻すことをお勧めします。

xz とは

xz は、コミュニティプロジェクトと商用製品の両方のほぼすべての Linux ディストリビューションに存在する汎用のデータ圧縮フォーマットです。基本的な機能としては、ファイル転送で共有できるよう大きなファイル形式を管理しやすいサイズに圧縮 (および解凍) します。

悪意のあるコードについて

xz バージョン 5.6.0 および 5.6.1 ライブラリに存在する悪意のあるインジェクションは難読化されており、ダウンロードパッケージにのみ完全な形で含まれています。Git ディストリビューションには、悪意のあるコードのビルドをトリガーする M4 マクロがありません。悪意のある M4 マクロが存在する場合にビルド時に挿入されるよう、Git リポジトリには第 2 ステージのアーティファクトが存在しています。

それによって生成される悪意のあるビルドでは、 systemd を介した sshd での認証が干渉されます。SSH はシステムにリモートで接続するために使用される一般的なプロトコルであり、sshd はアクセスを許可するサービスです。条件がそろっている場合、この干渉によって、悪意のある攻撃者が sshd 認証を破り、リモートからシステム全体に不正アクセスを行えるようになる可能性があります。

この悪意のあるコードの影響を受けるディストリビューション

これまでの調査から、Red Hat コミュニティエコシステム内においては、これらのパッケージは Fedora 40 と Fedora Rawhide にのみ存在すると考えられます。

Debian Unstable (Sid) 用にビルドされた xz 5.6.x バージョンでインジェクションがビルドされていることを示す報告と証拠があります。他のディストリビューションも影響を受けている可能性があります。その他のディストリビューションを使用している場合は、ディストリビューターに相談してください。

影響を受けるディストリビューションを実行している場合の対処法

個人用途でも業務用途でも、xz のバージョンをダウングレードできるようになるまでは、Fedora 40 と Fedora Rawhide の使用を直ちに停止してください。影響を受けるディストリビューションを業務用途で使用している場合は、取るべき対処について情報セキュリティチームに問い合わせることをお勧めします。

また、openSUSE ディストリビューションを実行しているユーザーのために、SUSE は https://build.opensuse.org/request/show/1163302 でダウングレード手順を公開しています。