Red Hat चेतावनी दे रहा है कि XZ यूटिल्स में एक भेद्यता, कई Linux वितरणों में शामिल XZ प्रारूप संपीड़न उपयोगिता एक पिछला दरवाजा है। उपयोगकर्ताओं को या तो उपयोगिता को सुरक्षित संस्करण में डाउनग्रेड करना चाहिए या एसएसएच को पूरी तरह से अक्षम कर देना चाहिए ताकि पिछले दरवाजे का शोषण न किया जा सके।

कोड इंजेक्शन भेद्यता (CVE-2024-3094), प्रमाणीकरण प्रक्रिया में कोड इंजेक्ट करता है जो दुर्भावनापूर्ण अभिनेता को सिस्टम तक दूरस्थ पहुंच प्राप्त करने की अनुमति देता है। कार्डिनल की टोपी को अपनी एडवाइजरी में कहाकृपया किसी भी फेडोरा रॉहाइड इंस्टेंस का उपयोग तुरंत बंद करें काम या व्यक्तिगत गतिविधि के लिए" - उनका जोर दें - जब तक कि कंपनी ने अपने xz संस्करण को 5.4.x पर वापस नहीं ला दिया और सब कुछ स्पष्ट नहीं कर दिया। दोष को 10.0 का सीवीएसएस (कॉमन वल्नरेबिलिटी स्कोरिंग सिस्टम) स्कोर दिया गया है।

दोष मौजूद है xz संस्करण 5.6.0 (24 फ़रवरी को रिलीज़) और 5.6.1 (9 मार्च को रिलीज़)। अमेरिकी साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) डेवलपर्स और उपयोगकर्ताओं को सलाह दी XZ यूटिल्स को पुराने, असंबद्ध संस्करण में डाउनग्रेड करना, जैसे XZ यूटिल्स 5.4.6 स्थिर.

यहां बताया गया है कि कैसे बताएं कि सिस्टम प्रभावित संस्करण चला रहा है:

xz-संस्करण

यदि आउटपुट कहता है xz (XZ यूटिल्स) 5.6.1 or लिब्ज़मा 5.6.1, तो उपयोगकर्ताओं को या तो अपने वितरण के लिए अपडेट लागू करना चाहिए (यदि उपलब्ध हो), xz को डाउनग्रेड करना चाहिए, या कुछ समय के लिए ssh को अक्षम करना चाहिए।

जबकि समस्या मुख्य रूप से लिनक्स वितरण को प्रभावित करती है, ऐसी रिपोर्टें हैं कि MacOS के कुछ संस्करण समझौता किए गए पैकेज चला सकते हैं। अगर ऐसा है तो चल रहा हूं काढ़ा उन्नयन मैक पर xz को 5.6.0 से डाउनग्रेड करके 5.4.6 कर देना चाहिए।

कौन से लिनक्स डिस्ट्रोस प्रभावित हैं?

गंभीर होते हुए भी, प्रभाव सीमित हो सकता है। समस्याग्रस्त कोड xz/liblzma के नए संस्करणों में है, इसलिए इसे व्यापक रूप से तैनात नहीं किया जा सकता है। जिन लिनक्स वितरणों ने अभी तक नए संस्करण जारी नहीं किए हैं, उनके प्रभावित होने की संभावना कम है।

लाल टोपी: फेडोरा 41 और फेडोरा रॉहाइड में कमजोर पैकेज मौजूद हैं। Red Hat Enterprise Linux (RHEL) का कोई भी संस्करण प्रभावित नहीं है। Red Hat का कहना है कि उपयोगकर्ताओं को प्रभावित संस्करणों का उपयोग तुरंत बंद कर देना चाहिए जब तक कि कंपनी को xz संस्करण को बदलने का मौका न मिल जाए।

एसयूएसई: An अद्यतन उपलब्ध है ओपनएसयूएसई (टम्बलवीड या माइक्रोओएस) के लिए।

डेबियन लिनक्स: वितरण का कोई भी स्थिर संस्करण प्रभावित नहीं हुआ है, लेकिन समझौता किए गए पैकेज परीक्षण, अस्थिर और प्रयोगात्मक संस्करणों का हिस्सा थे। उपयोगकर्ताओं को चाहिए xz-utils अद्यतन करें.

काली लिनक्स: यदि सिस्टम 26 मार्च से 29 मार्च के बीच अपडेट किए गए थे, तो उपयोगकर्ताओं को ऐसा करना चाहिए समाधान पाने के लिए पुनः अद्यतन करें. यदि काली का अंतिम अपडेट 26 तारीख से पहले था, तो वह इस पिछले दरवाजे से प्रभावित नहीं होता है।

यह सूची अद्यतन की जाएगी क्योंकि अन्य वितरण जानकारी प्रदान करेंगे।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils