آسیب پذیری بحرانی در XZ Utils برای لینوکس

RedHat یک توصیه امنیتی برای رفع یک آسیب پذیری مهم در XZ Utils برای لینوکس منتشر کرده است. XZ یک فرمت فشرده سازی داده همه منظوره است که تقریباً در هر توزیع لینوکس و همچنین در بسیاری از پروژه های اجتماعی و توزیع محصولات تجاری وجود دارد.

این آسیب‌پذیری که با نام CVE-2024-3094 با امتیاز CVSSv3 10.0 شناخته می‌شود، می‌تواند به مهاجم اجازه دهد تا اجرای کد از راه دور (RCE) را از طریق Secure Shell (SSH) در زمینه کاربر وارد شده انجام دهد.

جزئیات آسیب پذیری

کدهای مخرب توسط محققان امنیتی در کد منبع XZ Utils پیدا شد که با نسخه 5.6.0 شروع می شود. یک فایل آزمایشی مخفی در طول فرآیند کامپایل برای استخراج کدهای مخرب و تغییر عملکرد جزء liblzma XZ Utils استفاده می شود. این به liblzma اجازه می دهد تا تبادل داده ها را برای هر کتابخانه ای که به آن متکی است، از جمله libsystemd، رهگیری و تغییر دهد. به طور خاص، برخی از توزیع‌های لینوکس از libsystemd برای SSH استفاده می‌کنند و بنابراین می‌توانند در برابر RCE آسیب‌پذیر باشند.

اخبار آسیب‌پذیری‌ها را از وبسایت آپا بخش آسیب‌پذیری‌ها می توانید بخوانید، در ضمن صفحه اینستای ما را هم دنبال کنید.

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.