URGENTE: Alerta de segurança importante para usuários do Fedora Linux 40 e Fedora Rawhide

Nenhuma versão do Red Hat Enterprise Linux (RHEL) será afetada por essa CVE.

Atualizado em 30 de março de 2024: determinamos que o Fedora Linux 40 Beta contém duas versões afetadas das bibliotecas xz: xz-libs-5.6.0-1.fc40.x86_64.rpm e xz-libs-5.6.0-2.fc40.x86_64.rpm. No momento, o Fedora 40 Linux não parece ter sido afetado pela vulnerabilidade de malware, mas encorajamos todos os usuários do Fedora 40 Linux Beta a voltar para as versões 5.4.x.

Nota do editor: este post foi atualizado para explicar com mais clareza as versões afetadas do Fedora Linux e adicionar outros métodos de mitigação.

Ontem, o Red Hat Information Risk and Security e o Red Hat Product Security descobriram que as versões mais recentes das ferramentas e bibliotecas "xz" contêm códigos maliciosos que parecem ter a intenção de permitir acesso não autorizado. Especificamente, esse código está presente nas versões 5.6.0 e 5.6.1 das bibliotecas. Os usuários do Fedora Linux 40 podem ter recebido a versão 5.6.0, dependendo do tempo das atualizações do sistema. Os usuários do Fedora Rawhide podem ter recebido as versões 5.6.0 ou 5.6.1. Essa vulnerabilidade foi chamada de CVE-2024-3094.

INTERROMPA IMEDIATAMENTE O USO DE TODAS AS INSTÂNCIAS DO FEDORA RAWHIDE para trabalho ou atividade pessoal. O Fedora Rawhide será revertido para xz-5.4.x em breve e, depois disso, as instâncias do Fedora Rawhide poderão ser reimplantadas com segurança. O Fedora Rawhide é a distribuição de desenvolvimento do Fedora Linux e serve como base para builds futuros do Fedora Linux (neste caso, o Fedora Linux 41, que ainda será lançado).

Até o momento, os builds do Fedora Linux 40 não foram comprometidos. Acreditamos que a injeção de código malicioso não tenha surtido efeito nesses builds. No entanto, os usuários do Fedora Linux 40 ainda devem fazer downgrade para um build 5.4 por segurança. Uma atualização que reverte xz para 5.4.x foi publicada recentemente e está sendo disponibilizada para usuários do Fedora Linux 40 por meio do sistema de atualização normal. Usuários preocupados podem forçar a atualização seguindo as instruções em https://bophi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266.

Atualizado em 30 de março de 2024: determinamos que o Fedora Linux 40 Beta contém duas versões afetadas das bibliotecas xz: xz-libs-5.6.0-1.fc40.x86_64.rpm e xz-libs-5.6.0-2.fc40.x86_64.rpm. No momento, o Fedora 40 Linux não parece ter sido afetado pela vulnerabilidade de malware, mas encorajamos todos os usuários do Fedora 40 Linux Beta a voltar para as versões 5.4.x.

O que é xz?

xz é um formato de compactação de dados de uso geral presente em quase todas as distribuições do Linux, tanto em projetos da comunidade quanto em distribuições de produtos comerciais. Essencialmente, ele ajuda a compactar (e depois descompactar) formatos de arquivos grandes em tamanhos menores e mais gerenciáveis para compartilhar por transferências de arquivos.

O que é o código malicioso?

A injeção maliciosa presente nas bibliotecas xz versões 5.6.0 e 5.6.1 é ofuscada e incluída apenas na íntegra no pacote de download. A distribuição Git não tem a macro M4 que aciona o build do código malicioso. Os artefatos de segundo estágio estão presentes no repositório Git para a injeção durante o tempo de build, caso a macro M4 maliciosa esteja presente.

O build malicioso resultante interfere na autenticação em sshd por meio do systemd. SSH é um protocolo comumente usado para conexão remota a sistemas, e sshd é o serviço que permite o acesso.  Nas circunstâncias certas, essa interferência pode permitir que um agente malicioso rompa a autenticação sshd e obtenha acesso não autorizado a todo o sistema remotamente.

Quais distribuições são afetadas por esse código malicioso?

A investigação atual indica que os pacotes estão presentes apenas no Fedora 40 e no Fedora Rawhide dentro do ecossistema da comunidade da Red Hat.

Temos relatórios e evidências de que as injeções foram compiladas com sucesso nas versões xz 5.6.x criadas para o Debian instável (Sid). Outras distribuições também podem ser afetadas. Usuários de outras distribuições devem consultar seus distribuidores para receber orientação.

O que devo fazer se estiver executando uma distribuição afetada?

Para atividades pessoais e profissionais, pare imediatamente de usar o Fedora 40 ou o Fedora Rawhide até que você possa fazer o downgrade da sua versão xz. Se estiver usando uma distribuição afetada em um ambiente empresarial, recomendamos que entre em contato com sua equipe de segurança da informação para saber o que fazer em seguida.

Além disso, para os que executam distribuições do openSUSE, a SUSE publicou um procedimento de downgrade em https://build.opensuse.org/request/show/1163302.