Red Hat, birçok Linux dağıtımında bulunan XZ formatı sıkıştırma aracı olan XZ Utils’teki bir güvenlik açığının arka kapı olduğu konusunda uyarıyor. Kullanıcılar ya yardımcı programı daha güvenli bir sürüme düşürmeli ya da arka kapının istismar edilmemesi için ssh’yi tamamen devre dışı bırakmalıdır.
Kod yerleştirme güvenlik açığı (CVE-2024-3094), kötü niyetli aktörlerin sisteme uzaktan erişmesine olanak tanıyan kodu kimlik doğrulama sürecine enjekte eder. Kırmızı şapka tavsiyesinde şöyle dedi: “LÜTFEN HERHANGİ BİR FEDORA RAWHIDE ÖRNEKLERİNİN KULLANIMINI DERHAL DURDURUN iş veya kişisel aktivite için” – vurgu onlarınki – ta ki şirket xz versiyonunu 5.4.x’e döndürüp her şeyi açıklığa kavuşturana kadar. Kusura CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) puanı 10.0 olarak atandı.
Kusur şurada mevcut xz sürümleri 5.6.0 (24 Şubat’ta yayınlandı) ve 5.6.1 (9 Mart’ta yayınlandı). ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) geliştiricilere ve kullanıcılara tavsiyelerde bulunuldu XZ Utils’i daha önceki, tavizsiz bir sürüme düşürmek için XZ Utils 5.4.6 Kararlı.
Sistemin etkilenen sürümü çalıştırıp çalıştırmadığını şu şekilde anlayabilirsiniz:
xz –versiyon
Çıktı diyorsa xz (XZ Yardımcı Programları) 5.6.1 veya özgürlük 5.6.1kullanıcılar ya dağıtımları için güncellemeyi uygulamalı (varsa), xz’nin sürümünü düşürmeli ya da ssh’yi şimdilik devre dışı bırakmalıdır.
Sorun öncelikle Linux dağıtımlarını etkilese de, MacOS’un bazı sürümlerinin güvenliği ihlal edilmiş paketleri çalıştırıyor olabileceğine dair raporlar var. Eğer durum böyleyse koşmak demleme yükseltmesi Mac’te xz’nin sürümü 5.6.0’dan 5.4.6’ya düşürülmelidir.
Hangi Linux Dağıtımları Etkileniyor?
Ciddi olsa da etkisi sınırlı olabilir. Sorunlu kod xz/liblzma’nın daha yeni sürümlerinde olduğundan bu kadar geniş çapta dağıtılamayabilir. Henüz yeni sürümleri yayınlamamış olan Linux dağıtımlarının etkilenme olasılığı daha düşüktür.
Kırmızı şapka: Savunmasız paketler Fedora 41 ve Fedora Rawhide’da mevcuttur. Red Hat Enterprise Linux’un (RHEL) hiçbir sürümü etkilenmez. Red Hat, şirket xz sürümünü değiştirme şansına sahip olana kadar kullanıcıların etkilenen sürümleri kullanmayı derhal bırakması gerektiğini söylüyor.
Sus: Bir Güncelleme mevcut openSUSE için (Tumbleweed veya MicroOS).
Debian Linux: Dağıtımın hiçbir kararlı sürümü etkilenmedi, ancak güvenliği ihlal edilmiş paketler test, kararsız ve deneysel sürümlerin parçasıydı. Kullanıcılar xz-utils’i güncelle.
Kali Linux: Sistemler 26 Mart ile 29 Mart arasında güncellendiyse kullanıcıların düzeltmeyi almak için tekrar güncelleyin. Kali’nin son güncellemesi ayın 26’sından önceyse bu arka kapıdan etkilenmez.
Diğer dağıtımlar bilgi sağladıkça bu liste güncellenecektir.