Red Hat Enterprise Linux (RHEL) はどのバージョンもこの CVE の影響を受けません。
2024 年 3 月 30 日更新:Fedora Linux 40 ベータ版に、影響を受ける 2 つのバージョンの xz ライブラリ (xz-libs-5.6.0-1.fc40.x86_64.rpm と xz-libs-5.6.0-2.fc40.x86_64.rpm) が含まれていることを確認しました。現時点では、Fedora 40 Linux に対する実際のマルウェア攻撃は確認されていませんが、Fedora 40 Linux ベータ版の全ユーザーが 5.4.x バージョンに戻すことをお勧めします。
編集者注:影響を受けるバージョンの Fedora Linux をより明確にし、緩和策を追加するためにこの記事を更新しました。
Red Hat 情報リスクおよびセキュリティと Red Hat 製品セキュリティは昨日、最新バージョンの「xz」ツールおよびライブラリに、不正アクセスの許可を目的としていると思われる悪意のあるコードが含まれていることを把握しました。具体的には、このコードはバージョン 5.6.0 および 5.6.1 のライブラリに存在します。Fedora Linux 40 のユーザーは、システム更新のタイミングによっては、バージョン 5.6.0 を受け取っている可能性があります。Fedora Rawhide ユーザーはバージョン 5.6.0 または 5.6.1 を受け取っている可能性があります。 この脆弱性には CVE-2024-3094 が割り当てられました。
事業用途であるか個人用途であるかにかかわらず、Fedora Rawhide インスタンスの使用を直ちに停止してください。Fedora Rawhide はまもなく xz-5.4.x に戻されます。その完了後は、Fedora Rawhide インスタンスを安全に再デプロイできます。Fedora Rawhide は Fedora Linux の開発ディストリビューションであり、将来の Fedora Linux ビルド (この場合はまだリリースされていない Fedora Linux 41) の基盤となっています。
現時点では、Fedora Linux 40 ビルドの侵害は確認されていません。 これらのビルドは、悪意のあるコードのインジェクションによる影響は受けなかったと考えています。ただし安全を確保するために、Fedora Linux 40 ユーザーは 5.4 ビルドにダウングレードしてください。xz を 5.4.x に戻す更新が最近公開され、Fedora Linux 40 ユーザーが通常の更新システムを通じて利用できるようになっています。心配なユーザーは以下のページの手順に従って強制的に更新することができます。https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266
2024 年 3 月 30 日更新:Fedora Linux 40 ベータ版に、影響を受ける 2 つのバージョンの xz ライブラリ (xz-libs-5.6.0-1.fc40.x86_64.rpm と xz-libs-5.6.0-2.fc40.x86_64.rpm) が含まれていることを確認しました。現時点では、Fedora 40 Linux に対する実際のマルウェア攻撃は確認されていませんが、Fedora 40 Linux ベータ版の全ユーザーが 5.4.x バージョンに戻すことをお勧めします。
xz とは
xz は、コミュニティプロジェクトと商用製品の両方のほぼすべての Linux ディストリビューションに存在する汎用のデータ圧縮フォーマットです。基本的な機能としては、ファイル転送で共有できるよう大きなファイル形式を管理しやすいサイズに圧縮 (および解凍) します。
悪意のあるコードについて
xz バージョン 5.6.0 および 5.6.1 ライブラリに存在する悪意のあるインジェクションは難読化されており、ダウンロードパッケージにのみ完全な形で含まれています。Git ディストリビューションには、悪意のあるコードのビルドをトリガーする M4 マクロがありません。悪意のある M4 マクロが存在する場合にビルド時に挿入されるよう、Git リポジトリには第 2 ステージのアーティファクトが存在しています。
それによって生成される悪意のあるビルドでは、 systemd を介した sshd での認証が干渉されます。SSH はシステムにリモートで接続するために使用される一般的なプロトコルであり、sshd はアクセスを許可するサービスです。条件がそろっている場合、この干渉によって、悪意のある攻撃者が sshd 認証を破り、リモートからシステム全体に不正アクセスを行えるようになる可能性があります。
この悪意のあるコードの影響を受けるディストリビューション
これまでの調査から、Red Hat コミュニティエコシステム内においては、これらのパッケージは Fedora 40 と Fedora Rawhide にのみ存在すると考えられます。
Debian Unstable (Sid) 用にビルドされた xz 5.6.x バージョンでインジェクションがビルドされていることを示す報告と証拠があります。他のディストリビューションも影響を受けている可能性があります。その他のディストリビューションを使用している場合は、ディストリビューターに相談してください。
影響を受けるディストリビューションを実行している場合の対処法
個人用途でも業務用途でも、xz のバージョンをダウングレードできるようになるまでは、Fedora 40 と Fedora Rawhide の使用を直ちに停止してください。影響を受けるディストリビューションを業務用途で使用している場合は、取るべき対処について情報セキュリティチームに問い合わせることをお勧めします。
また、openSUSE ディストリビューションを実行しているユーザーのために、SUSE は https://build.opensuse.org/request/show/1163302 でダウングレード手順を公開しています。
類似検索
チャンネル別に見る
自動化
テクノロジー、チームおよび環境に関する IT 自動化の最新情報
AI (人工知能)
お客様が AI ワークロードをどこでも自由に実行することを可能にするプラットフォームについてのアップデート
オープン・ハイブリッドクラウド
ハイブリッドクラウドで柔軟に未来を築く方法をご確認ください。
セキュリティ
環境やテクノロジー全体に及ぶリスクを軽減する方法に関する最新情報
エッジコンピューティング
エッジでの運用を単純化するプラットフォームのアップデート
インフラストラクチャ
世界有数のエンタープライズ向け Linux プラットフォームの最新情報
アプリケーション
アプリケーションの最も困難な課題に対する Red Hat ソリューションの詳細
オリジナル番組
エンタープライズ向けテクノロジーのメーカーやリーダーによるストーリー
製品
ツール
試用、購入、販売
コミュニケーション
Red Hat について
エンタープライズ・オープンソース・ソリューションのプロバイダーとして世界をリードする Red Hat は、Linux、クラウド、コンテナ、Kubernetes などのテクノロジーを提供しています。Red Hat は強化されたソリューションを提供し、コアデータセンターからネットワークエッジまで、企業が複数のプラットフォームおよび環境間で容易に運用できるようにしています。
言語を選択してください
Red Hat legal and privacy links
- Red Hat について
- 採用情報
- イベント
- 各国のオフィス
- Red Hat へのお問い合わせ
- Red Hat ブログ
- ダイバーシティ、エクイティ、およびインクルージョン
- Cool Stuff Store
- Red Hat Summit