Origine : bjCSIRT

Numéro : 2024/ALERTE/019

Date de l’alerte : 30/03/2024

APERÇU :

XZ Utils est affectée par la présence d’un code malveillant pouvant permettre à un attaquant d’avoir un accès non autorisé à un système en contournant l’authentification d’OpenSSH à l’exécution.

DESCRIPTION 

XZ Utils est une suite d’outils logiciels pour les systèmes Unix et Linux, utilisée pour compresser et décompresser des fichiers au format de compression XZ, connu pour son efficacité sans perte de données.

Ce logiciel est affecté par une vulnérabilité identifiée sous le libellé CVE-2024-3094. L’exploitation de cette faille par un attaquant pourrait contourner l’authentification SSH et ainsi permettre un accès non autorisé aux systèmes vulnérables. Cette vulnérabilité est due à des manipulations complexes durant la construction de la bibliothèque liblzma, utilisée par ce logiciel. En résumé, un fichier malveillant est extrait d’un fichier de test camouflé, puis utilisé pour altérer des fonctions spécifiques dans le code de liblzma. Cela conduit à une version modifiée de la bibliothèque liblzma, pouvant être utilisée par n’importe quel logiciel, ce qui permet de manipuler les interactions de données avec cette bibliothèque.

Cette vulnérabilité est classée critique avec un score CVSS3 de 10.

IMPACT :

• Compromission du serveur ;
• Atteinte à l’intégrité des données ;
• Atteinte à la confidentialité des données.

SYSTÈMES AFFECTÉS :

Les versions 5.6.0 et 5.6.1 du package xz-utils.

MESURES À PRENDRE :

Rétrograder XZ Utils vers une version non compromise (Notamment XZ Utils 5.4.6 Stable) 

RÉFÉRENCES :

• https://nvd.nist.gov/vuln/detail/CVE-2024-3094 
• https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094 
• https://www.suse.com/security/cve/CVE-2024-3094.html