Red Hatは、多くのLinuxディストリビューションに含まれるXZ形式の圧縮ユーティリティであるXZ Utilsにバックドアが存在すると警告している。この脆弱性は、認証プロセスにコードを注入し、悪意のあるアクターがシステムへのリモートアクセスを得ることを可能にする。脆弱性のあるバージョンは、5.6.0(2023年2月24日リリース)と5.6.1(2023年3月9日リリース)である。この問題は主にLinuxディストリビューションに影響を与えるが、一部のMacOSバージョンも影響を受けている可能性がある。
Red Hatは、Fedora 41とFedora Rawhideに脆弱性のあるパッケージが存在すると述べており、Red Hat Enterprise Linux(RHEL)のバージョンは影響を受けていない。SUSEはopenSUSE(TumbleweedまたはMicroOS)に対するアップデートを提供している。Debian Linuxの安定したバージョンは影響を受けていないが、テスト、不安定、実験的バージョンのパッケージには問題があった。Kali Linuxは、2023年3月26日から29日の間にシステムを更新した場合、再度更新して修正を適用する必要がある。
ユーザーは、`xz –version`コマンドを実行してシステムが影響を受けているバージョンを実行しているかどうかを確認できる。影響を受けるバージョンが検出された場合、ユーザーは配布用のアップデートを適用するか、xzをダウングレードするか、またはsshを無効にすることが推奨される。
【関連記事】
Rustのliblzma-sysに潜むバックドア、21,000回以上のダウンロード後に発覚
大手テック企業とApex Programがもたらすセキュリティパラダイムシフト
ソフトウェア供給チェーン攻撃の警鐘、XZ Utils事件が示す脆弱性とその対策
オープンソースソフトウェアのセキュリティ警鐘:XZ Utilsにバックドア発見
オープンソースソフトウェアに潜む危険:Microsoftが発見したバックドア
Linux圧縮ツールXZにバックドア発見、複数ディストリビューションが危機に
サイバーセキュリティ最前線:グローバル協力から新たな脅威まで
緊急警告: XZ Utilsにバックドア、最大CVSSスコア10.0の脆弱性発覚
【ニュース解説】
多くのLinuxディストリビューションに含まれているXZ形式の圧縮ユーティリティ、XZ Utilsに重大なセキュリティ脆弱性が発見されました。この脆弱性は、特定のバージョンにおいて、認証プロセスに悪意のあるコードを注入することができるバックドアが存在することを意味します。このバックドアを通じて、攻撃者はリモートからシステムにアクセスすることが可能になります。
影響を受けるバージョンは、2023年2月24日にリリースされた5.6.0と、2023年3月9日にリリースされた5.6.1です。この問題はLinuxディストリビューションを中心に影響を及ぼしますが、一部のMacOSバージョンにも影響がある可能性が指摘されています。
Red Hatは、Fedora 41とFedora Rawhideにこの脆弱性のあるパッケージが存在すると警告しており、これらのバージョンの使用を直ちに停止するよう呼びかけています。一方、Red Hat Enterprise Linux(RHEL)は影響を受けていません。SUSEはopenSUSE(TumbleweedまたはMicroOS)に対してアップデートを提供しており、Debian Linuxの安定したバージョンは影響を受けていないものの、テスト、不安定、実験的バージョンには問題がありました。Kali Linuxも、特定の期間内に更新されたシステムは、再度の更新が必要です。
ユーザーは、自身のシステムが影響を受けているかどうかを確認するために、`xz –version`コマンドを実行することができます。影響を受けるバージョンが検出された場合、配布用のアップデートを適用する、xzをダウングレードする、またはsshを一時的に無効にすることが推奨されます。
この脆弱性の発見は、オープンソースソフトウェアのセキュリティ管理における重要な課題を浮き彫りにします。オープンソースはその柔軟性と広範な利用により多くのメリットを提供しますが、同時に、広範囲にわたる監視と迅速な対応が求められることも示しています。このような脆弱性は、システムのセキュリティを脅かすだけでなく、信頼性やプライバシーにも影響を及ぼす可能性があります。
長期的な視点では、このような事件は、開発者や組織に対して、セキュリティ対策の重要性を再認識させ、より安全なソフトウェア開発のためのプロセスやツールの改善につながることが期待されます。また、ユーザーにとっては、使用しているソフトウェアのバージョンを常に最新の状態に保つことの重要性が強調されることになります。
from Are You Affected by the Backdoor in XZ Utils?.
【編集部追記】2024/0404 13:20
xzの脆弱性が発覚 – オープンソースの功罪とは?
オープンソースの圧縮・解凍ツールであるxzに、バックドアとなる悪意のあるコードが紛れ込んでいたことが明らかになりました。
これにより、攻撃者がユーザーのコンピュータを不正に操作できてしまう可能性があります。
幸い現時点で実際の被害報告はありませんが、Linuxディストリビューションのベータ版などに混入していたことが確認されています。
オープンソースは世界中の開発者が協力して作るソフトウェアの仕組みで、技術革新を支える重要な役割を果たしてきました。
しかし、今回のように悪意のある開発者が紛れ込むリスクもはらんでいます。
ユーザーができる対策としては、OSやソフトウェアを常に最新の状態に保つことが大切です。
機密情報を扱うコンピュータは特に注意が必要でしょう。
今後もオープンソースのセキュリティ管理のあり方が問われることになりそうです。
【編集部追記】2024/04/15 15:14
XZ Utilsのバックドア問題 – 最新情報まとめ
2024年3月29日、無損失圧縮を行うソフトウェアスイートであるXZ Utilsのバージョン5.6.0と5.6.1にバックドアが発見された。このバックドアにより、攻撃者がSSH認証をバイパスしてリモートからシステムにアクセスできてしまう。
影響を受けるのは主にLinuxディストリビューションだが、一部のmacOSバージョンも該当する可能性がある。 現時点で実際の被害報告はないが、影響範囲の大きさから被害が拡大している可能性は否定できない。
脆弱性が発覚したのはDebian開発者のAndres Freund氏が自身の環境で異常を発見したのがきっかけ。 不正なコードは2024年2月23日にXZ UtilsのGithubリポジトリにコミットされていた。ビルドプロセスを変更する難読化された悪意あるコードで、静的解析での検出は困難だった。
Red HatはFedora 41とFedora Rawhideユーザーに警告を発し、Fedora Rawhideは使用中止を呼びかけている。 影響を受けるバージョンの使用を直ちに停止し、アップデートを適用するかダウングレードする必要がある。
XZ Utilsの元メンテナーのLasse Collin氏が問題発覚後にプロジェクトの管理権を取り戻し、コードのクリーンアップを行っているが、開発元のTukaani Projectから今回の問題について公式な説明はまだない。
オープンソースの透明性の高さがメリットである反面、攻撃者に悪用される危険性もはらんでいる。 開発者コミュニティを中心に、脆弱性の監視体制強化が急務とされる。また、ソースコードの静的スキャンだけでは不十分で、実行時の脅威検知の重要性が高まっているとの指摘もある
“警告:LinuxとMacOSに影響、XZ Utilsにバックドア発見!” への1件のコメント
このニュースは非常に心配ですね。私たちの日常生活において、コンピュータやインターネットの安全性は非常に重要な部分を占めています。特にLinuxを利用しているユーザーにとっては、このような脆弱性の発見は大きな衝撃でしょう。私自身、専門的な知識はあまりありませんが、孫がよくコンピュータをいじっているので、このような問題が起こると不安に思います。
オープンソースソフトウェアは、その柔軟性やコストの面で多くのメリットがありますが、この事件が示すように、セキュリティの面では常に注意が必要ですね。開発者や組織がセキュリティ対策を重視し、迅速に対応することはもちろん、我々普通のユーザーも、使用しているソフトウェアのバージョンを最新に保つことの重要性を改めて認識する必要があると感じます。
また、この問題は、Linuxディストリビューションだけでなく、一部のMacOSバージョンにも影響があるとのことで、さらに心配です。多くの人々が影響を受ける可能性があるということですから、関係者は迅速な対応を求められています。
個人的には、こうした問題が解決されるまでの間、孫たちにはコンピュータの使用に注意を払うように言うつもりです。また