Fedora Linux 40 및 Fedora Rawhide 사용자를 위한 긴급 보안 경고

RHEL(Red Hat Enterprise Linux) 버전은 이 CVE의 영향을 받지 않습니다.

2024년 3월 30일 업데이트: Fedora Linux 40 베타에 xz 라이브러리의 영향을 받는 두 가지 버전인 xz-libs-5.6.0-1.fc40.x86_64.rpm 및 xz-libs-5.6.0-2.fc40.x86_64.rpm이 포함되어 있는 것으로 확인되었습니다. 현재 Fedora 40 Linux는 실제 맬웨어 익스플로잇의 영향을 받지 않는 것으로 보이지만, 모든 Fedora 40 Linux 베타 사용자는 5.4.x 버전으로 되돌리는 것이 좋습니다.

편집자 주: 이 포스트는 영향을 받는 Fedora Linux 버전을 더 명확하게 설명하고 완화 방법을 추가하기 위해 업데이트되었습니다.

어제 Red Hat Information Risk and Security와 Red Hat Product Security는 최신 버전의 'xz' 툴과 라이브러리에 무단 액세스를 허용하는 것으로 보이는 악성 코드가 포함되어 있음을 확인했습니다. 이 코드는 라이브러리 버전 5.6.0 및 5.6.1에 있습니다. Fedora Linux 40 사용자는 시스템 업데이트 시기에 따라 버전 5.6.0을 받았을 수 있습니다. Fedora Rawhide 사용자는 버전 5.6.0 또는 5.6.1을 받았을 수 있습니다. 이 취약점은 CVE-2024-3094에 할당되었습니다.

업무 또는 개인 활동에 대한 모든 Fedora Rawhide 인스턴스의 사용을 즉시 중지하세요. Fedora Rawhide는 곧 xz-5.4.x로 되돌려질 예정이며, 이 작업이 완료되면 Fedora Rawhide 인스턴스를 안전하게 재배포할 수 있습니다. Fedora Rawhide는 Fedora Linux의 개발 배포판이며 향후 Fedora Linux 빌드(이 경우 아직 릴리스되지 않은 Fedora Linux 41)의 기반 역할을 합니다.

현재 Fedora Linux 40 빌드는 손상된 것으로 표시되지 않았습니다. 이 빌드에서는 악성 코드가 주입되지 않은 것으로 보입니다. 그러나 Fedora Linux 40 사용자는 안전을 위해 5.4 빌드로 다운그레이드해야 합니다. xz를 5.4.x로 되돌리는 업데이트가 최근에 게시되었으며, 일반 업데이트 시스템을 통해 Fedora Linux 40 사용자가 사용할 수 있게 되었습니다. 관련 사용자는 https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266의 지침에 따라 업데이트를 강제 적용할 수 있습니다.

2024년 3월 30일 업데이트: Fedora Linux 40 베타에 xz 라이브러리의 영향을 받는 두 가지 버전인 xz-libs-5.6.0-1.fc40.x86_64.rpm 및 xz-libs-5.6.0-2.fc40.x86_64.rpm이 포함되어 있는 것으로 확인되었습니다. 현재 Fedora 40 Linux는 실제 맬웨어 익스플로잇의 영향을 받지 않는 것으로 보이지만, 모든 Fedora 40 Linux 베타 사용자는 5.4.x 버전으로 되돌리는 것이 좋습니다.

xz란?

xz는 커뮤니티 프로젝트 및 상용 제품 배포판을 포함하여 거의 모든 Linux 배포판에 있는 범용 데이터 압축 형식입니다. 기본적으로 대용량 파일 형식을 전송을 통해 공유할 수 있도록 더 작고 관리하기 쉬운 크기로 압축 및 압축 해제하는 데 도움이 됩니다.

악성 코드란?

xz 버전 5.6.0 및 5.6.1 라이브러리에 있는 악의적인 주입은 난독화되어 있으며 전체 다운로드 패키지에만 포함되어 있습니다. Git 배포판에는 악성 코드의 빌드를 트리거하는 M4 매크로가 없습니다. 악의적인 M4 매크로가 있는 경우 빌드 시간 동안 주입을 위해 2단계 아티팩트가 Git 리포지토리에 있습니다.

그 결과로 생성된 악의적인 빌드는 systemd를 통한 sshd의 인증을 방해합니다. SSH는 시스템에 원격으로 연결하는 데 일반적으로 사용되는 프로토콜이며, sshd는 액세스를 허용하는 서비스입니다. 특정한 상황에서는 이러한 간섭으로 인해 악의적인 행위자가 sshd 인증을 중단하고 원격으로 전체 시스템에 무단으로 액세스할 수 있습니다.

이 악성 코드의 영향을 받는 배포판은 무엇입니까?

현재 조사에 따르면 패키지는 Red Hat 커뮤니티 에코시스템 내의 Fedora 40 및 Fedora Rawhide에만 존재합니다.

Debian stable(Sid)용으로 빌드된 xz 5.6.x 버전에서 주입이 성공적으로 빌드되었다는 보고와 증거가 있습니다. 다른 배포판도 영향을 받을 수 있습니다. 다른 배포판의 사용자는 총판에 지침을 문의해야 합니다.

영향을 받는 배포를 실행 중인 경우 어떻게 해야 하나요?

개인 및 비즈니스 활동을 위해 xz 버전을 다운그레이드할 수 있을 때까지 Fedora 40 또는 Fedora Rawhide 사용을 즉시 중단합니다. 비즈니스 환경에서 영향을 받는 배포판을 사용하는 경우 정보 보안 팀에 문의하여 다음 단계를 수행하는 것이 좋습니다.

또한 openSUSE 배포판을 실행하는 사용자를 위해 SUSE는 https://build.opensuse.org/request/show/1163302에 다운그레이드 절차를 게시했습니다.