CVE-2024-3094 பாதிப்பு (XZ பின்கதவு)

பாதுகாப்பு பகுப்பாய்வாளர்கள் சமீபத்தில் ஒரு முக்கியமான பாதிப்பைக் கண்டறிந்துள்ளனர், இது பேரழிவு தரக்கூடிய விளைவுகளை ஏற்படுத்துகிறது. ஒரு அவசர பாதுகாப்பு ஆலோசனையின்படி, பரவலாகப் பயன்படுத்தப்படும் தரவு சுருக்கக் கருவியின் இரண்டு மறு செய்கைகளான XZ Utils (முன்னர் LZMA Utils என அறியப்பட்டது) தீங்கிழைக்கும் குறியீட்டுடன் சமரசம் செய்யப்பட்டுள்ளது. இந்த குறியீடு பாதிக்கப்பட்ட கணினிகளுக்கு அங்கீகரிக்கப்படாத தொலைநிலை அணுகலை செயல்படுத்துகிறது.

இந்த பாதுகாப்பு மீறல், CVE-2024-3094 என அடையாளம் காணப்பட்டுள்ளது, இது CVSS மதிப்பெண் 10.0 உடன் மதிப்பிடப்பட்டுள்ளது, இது மிக உயர்ந்த தீவிரத்தன்மையைக் குறிக்கிறது. இது XZ Utils இன் பதிப்புகள் 5.6.0 (பிப்ரவரி 24, 2024 அன்று வெளியிடப்பட்டது) மற்றும் 5.6.1 (மார்ச் 9, 2024 அன்று வெளியிடப்பட்டது) ஆகியவற்றைப் பாதிக்கிறது.

சுரண்டல் என்பது liblzma உருவாக்க செயல்முறையின் அதிநவீன கையாளுதலை உள்ளடக்கியது. குறிப்பாக, மூலக் குறியீட்டில் உள்ள மாறுவேடமிட்ட சோதனைக் கோப்பிலிருந்து முன்பே கட்டமைக்கப்பட்ட பொருள் கோப்பு பிரித்தெடுக்கப்படுகிறது. இந்த ஆப்ஜெக்ட் கோப்பு liblzma குறியீட்டிற்குள் குறிப்பிட்ட செயல்பாடுகளை மாற்ற பயன்படுகிறது, இது சமரசத்தை நிரந்தரமாக்குகிறது.

CVE-2024-3094 பாதிப்பு தாக்குபவர்களை தன்னிச்சையான பேலோடுகளை அனுப்ப அனுமதிக்கிறது

அச்சுறுத்தும் செயல்முறை liblzma நூலகத்தின் மாற்றியமைக்கப்பட்ட பதிப்பிற்கு வழிவகுக்கிறது, அதைப் பயன்படுத்தும் எந்த மென்பொருளுடனும் தரவு தொடர்புகளை இடைமறித்து மாற்றும் திறன் கொண்டது.

இன்னும் துல்லியமாக, லைப்ரரியில் உட்பொதிக்கப்பட்ட மோசமான குறியீடு, systemd மென்பொருள் தொகுப்பு மூலம் SSH (Secure Shell) இன் ஒரு அங்கமான sshd டீமான் செயல்முறையை சீர்குலைக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது. இந்த கையாளுதல் ஒரு அச்சுறுத்தல் நடிகருக்கு sshd அங்கீகாரத்தை சமரசம் செய்யும் திறனை வழங்குகிறது மற்றும் சில நிபந்தனைகள் பூர்த்தி செய்யப்படுவதைத் தொடர்ந்து கணினியை தொலைவிலிருந்து அணுகலாம்.

CVE-2024-3094 அறிமுகப்படுத்திய தீங்கு விளைவிக்கும் கதவுகளின் இறுதி நோக்கம், பாதிக்கப்பட்ட கணினியில் இயங்கும் OpenSSH சேவையகத்தில் (SSHD) குறியீட்டை உட்செலுத்துவதாகும். இது குறிப்பிட்ட ரிமோட் தாக்குபவர்கள், குறிப்பிட்ட தனிப்பட்ட விசையை வைத்திருக்கும், SSH வழியாக தன்னிச்சையான பேலோடுகளை அனுப்ப உதவும். இந்த பேலோடுகள் அங்கீகரிப்பு நிலைக்கு முன் செயல்படும், பாதிக்கப்பட்ட முழு அமைப்பின் கட்டுப்பாட்டையும் திறம்பட கைப்பற்றும்.

CVE-2024-3094 பாதிப்பு என்பது மோசடி தொடர்பான நடிகரால் வேண்டுமென்றே அறிமுகப்படுத்தப்பட்டிருக்கலாம்

ஜியா டான் (JiaT75) என அடையாளம் காணப்பட்ட ஒரு பயனரால் GitHub இல் Tukaani திட்டத்திற்கு நான்கு கமிட்களின் வரிசையின் மூலம் சிக்கலான மறைக்கப்பட்ட தீங்கிழைக்கும் குறியீடு ஒருங்கிணைக்கப்பட்டதாகத் தெரிகிறது.

பல வாரங்கள் நீடித்த செயல்பாடுகளைக் கருத்தில் கொண்டு, உறுதியளிப்பவர் நேரடியாக சம்பந்தப்பட்டவர் அல்லது அவர்களின் அமைப்பில் குறிப்பிடத்தக்க சமரசத்தை அனுபவித்தவர் என்று அது அறிவுறுத்துகிறது. இருப்பினும், 'திருத்தங்கள்' தொடர்பான பல்வேறு மன்றங்களில் அவர்களின் ஈடுபாட்டைக் கருத்தில் கொண்டு, பிந்தைய சூழ்நிலை நம்பத்தகுந்ததாக இல்லை.

இப்போது மைக்ரோசாப்ட் உரிமையின் கீழ் உள்ள கிட்ஹப், துகானி திட்டத்தால் நிர்வகிக்கப்படும் XZ Utils களஞ்சியத்தை செயலிழக்கச் செய்வதன் மூலம் GitHub இன் சேவை விதிமுறைகளை மீறுவதாகக் கூறி நடவடிக்கை எடுத்துள்ளது. இப்போது வரை, காடுகளில் செயலில் சுரண்டப்பட்டதாக எந்த அறிக்கையும் இல்லை.

இந்த சமரசம் செய்யப்பட்ட தொகுப்புகள் பிரத்தியேகமாக Fedora 41 மற்றும் Fedora Rawhide விநியோகங்களில் காணப்படுவதாக விசாரணைகள் குறிப்பிடுகின்றன. Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise and Leap மற்றும் Ubuntu போன்ற பிற முக்கிய விநியோகங்கள் இந்தப் பாதுகாப்புச் சிக்கலால் பாதிக்கப்படவில்லை.

CVE-2024-3094 பின்கதவு பாதிப்பைக் குறைக்கிறது

Fedora Linux 40 இன் பயனர்கள் 5.4 பில்டிற்கு திரும்பும்படி அறிவுறுத்தப்பட்டுள்ளனர். கூடுதலாக, பல லினக்ஸ் விநியோகங்கள் சப்ளை செயின் தாக்குதலால் பாதிக்கப்பட்டுள்ளன, அவற்றுள்:

ஆர்ச் லினக்ஸ் (நிறுவல் ஊடகம் 2024.03.01, மெய்நிகர் இயந்திரப் படங்கள் 20240301.218094 மற்றும் 20240315.221711, மற்றும் பிப்ரவரி 24, 2024 மற்றும் மார்ச் 28, 2024க்கு இடையில் உருவாக்கப்பட்ட கொள்கலன் படங்கள்)

• காளி லினக்ஸ் (மார்ச் 26 மற்றும் மார்ச் 29 க்கு இடையில்)
• openSUSE Tumbleweed மற்றும் openSUSE MicroOS (மார்ச் 7 மற்றும் மார்ச் 28 க்கு இடையில்)
• டெபியன் சோதனை, நிலையற்ற மற்றும் சோதனை பதிப்புகள் (5.5.1alpha-0.1 முதல் 5.6.1-1 வரை)

இந்த வளர்ச்சி அமெரிக்க சைபர் செக்யூரிட்டி மற்றும் இன்ஃப்ராஸ்ட்ரக்சர் செக்யூரிட்டி ஏஜென்சியை (CISA) அதன் சொந்த எச்சரிக்கையை வெளியிட தூண்டியது, XZ Utils 5.4.6 நிலையானது போன்ற சமரசத்தால் பாதிக்கப்படாத பதிப்பிற்கு XZ Utils ஐ மாற்ற பயனர்களுக்கு அறிவுறுத்துகிறது.