「XZ Utils」にバックドア(CVE-2024-3094)の問題 Fedora、Debian、Alpine、Kali、OpenSUSE、Arch Linuxの開発版、実験版に影響OSSコミュニティーに衝撃

主要なLinuxディストリビューションなどで広く使用されている「XZ Utils」に、悪意あるコードが挿入された問題(CVE-2024-3094)が確認された。

» 2024年04月04日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 2024年3月29日(米国時間)、主要なLinuxディストリビューションなどで広く使用されているファイル可逆圧縮ツール「XZ Utils」に、悪意あるコードが挿入された問題(CVE-2024-3094)が確認されたとして、同ツールの開発元Tukaani Projectの開発者やディストリビューター、セキュリティ企業などが情報を公開した。

 JPCERTコーディネーションセンター(JPCERT/CC)によると、この悪意あるコードは、XZ Utilsの開発に関わる共同開発者によって2024年2月24日ごろに挿入された。このコードが挿入されたバージョンのXZ Utilsがインストールされたシステムは、特定条件下で、SSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性がある。

 CVE-2024-3094の影響を受けるXZ Utilsのバージョンは、「XZ Utils 5.6.0」と「XZ Utils 5.6.1」だ。使用中のXZ Utilsのバージョンを確認する際は、影響を受けるバージョンを使用している可能性を考慮し、xzコマンドによる確認は避け、各種パッケージ管理ソフトウェアのバージョン確認コマンドを使うよう推奨している。

 JPCERT/CCは、これらを使用している可能性があるLinuxディストリビューションを利用している場合、同ツールの開発者や各ディストリビューターが公開する最新情報を参照し、影響の有無の調査や必要な対処の実施を検討することも推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。