XZ Utils バックドア

問題

Secure Code Warriorは、オープンソースのXZ Utilsツールのコンポーネントに悪意のあるバックドアが最近発見され、一部のLinuxシステムに脅威を与えていることを認識しています。この脆弱性は現在、CVE-2024-3094 として追跡されています。

CVE-2024-3094 は、ほとんどの Linux ディストリビューションに含まれるデータ圧縮サービスである XZ Utils(旧称 LZMA Utils) のバージョン 5.6.0 および 5.6.1 で発見された悪意のあるバックドアに割り当てられた脆弱性識別子です。この悪質なコードは、以前は信頼されていた開発者によって導入されたもので、SSHD経由のSSHセッションの認証を弱めようとするものです。

詳細については、こちらをご覧ください：NVD - CVE-2024-3094 (nist.gov)

影響

Secure Code Warriorは、当社の内部環境を評価した結果、この脆弱性の影響を 受けていないことを確認できました。

その他のリソース

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094