A Red Hat és a Debian Linux disztribúciók szűken elkerülik a kritikus SSH-hátsó ajtók szállítását

Kezdőlap » Linux

Olvasási idő ikonra 2 perc olvas

Naptár ikonra Publikálva

by Pradeep Viswav 

közzétették

Ossza meg ezt a cikket

Az olvasók segítenek az MSpoweruser támogatásában. Kaphatunk jutalékot, ha a linkjeinken keresztül vásárol. Eszköztipp ikon

Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább

linux hack

A széles körben használt xz Utils tömörítési könyvtárban egy kifinomult hátsó ajtót fedeztek fel, amelyet az SSH hitelesítés aláásására terveztek. A biztonsági kutatók elkerülték az ellátási lánc lehetséges katasztrófáját, amikor a rosszindulatú kódot megtalálták a Fedora Rawhide és a Debian tesztelési és kísérleti ágainak béta kiadásaiban.

Egy nemrég felfedezett Az xz Utils tömörítőeszközben (5.6.0 és 5.6.1 verzió) található hátsó ajtó pusztító következményekkel járhatott volna a Linux disztribúciókra. A Red Hat és a Debian mainstream éles kiadásait ez nem érinti, de a béta verziók sebezhetőek voltak. A stabil Arch Linux kiadás is érintett, bár ez kevésbé gyakori éles környezetben.

A hátsó ajtó időben történő felfedezése megakadályozta a széles körű károkat, jelezve a potenciális katasztrófát, ha annak jelenlétét nem észlelték.

A hátsó ajtó, amelyet egy régóta megbízható xz Utils fejlesztő mutatott be, különösen alattomos. Ez veszélyezteti az SSH által használt biztonságos hitelesítési folyamatot, amely kritikus eszköz a távoli rendszereléréshez Linux környezetekben.

Csatlakozáskor a rosszindulatú program elfogja a kritikus kódot, lehetővé téve a támadók számára, hogy megkerüljék a hitelesítést, és jogosulatlan root hozzáférést kapjanak a megcélzott rendszerhez.

További fejlesztések

  • macOS hatás: Az xz Utils kompromittált 5.6.1-es verziója több alkalmazást is érintett a Homebrew csomagkezelőben. A Homebrew azóta az 5.4.6-os verzióra frissített.
  • Folyamatos kérdések: További vizsgálatra van szükség a hátsó ajtó képességeinek teljes terjedelmében, és annak megállapításához, hogy a régebbi xz Utils verziók nem kerültek-e veszélybe.

Sürgős intézkedés javasolt

  • Ellenőrizze a terjesztését: Azonnal ellenőrizze, hogy a Linux disztribúció használja-e az érintett xz Utils verziókat. Forduljon a forgalmazóhoz hivatalos útmutatásért.
  • Felismerés és mérséklés: Érzékelő szkriptek állnak rendelkezésre a sérülékeny rendszerek azonosításához. Kövesse a disztribúció utasításait a javításhoz a lehető leghamarabb.

Ez az incidens rávilágít a szoftverellátási lánc sérülékenységeinek súlyosságára és a nyílt forráskódú közösségen belüli állandó éberség fontosságára.

Pradeep Viswav

Pradeep Viswav Shield

Szoftver- és szolgáltatásszakértő

Pradeep számítástechnikai és mérnöki végzettségű. A Microsoft diákpartnere is volt. Jelenleg egy vezető informatikai cégnél dolgozik.