Alert GCSA-24051 - Compromissione supply chain della libreria di compressione XZ
******************************************************************
Alert ID: GCSA-24051
Data: 30 marzo 2024
Titolo: Compromissione supply chain della libreria di compressione XZ
*********************************************************************
:: Descrizione del problema
E' stata inserita una backdoor nella libreria XZ Utils versioni 5.6.0 e 5.6.1.
XZ Utils e' presente in varie distribuzioni Linux, e la sua compromissione
puo' consentire l'accesso non autorizzato ai sistemi che hanno servizi
esposti che la utilizzano. Trattandosi di una versione molto recente, e'
probabile che i sistemi interessati non siano tra le release stabili.
:: Software interessato
- - XZ Utils (liblzma) versioni 5.6.0 and 5.6.1
ed eventuali servizi che dipendono dalla libreria (per es. sshd).
:: Impatto
Accesso non autorizzato ai sistemi con servizi esposti che dipendono
dalla libreria compromessa.
:: Soluzioni
Eseguire il downgrade ad una versione stabile precedente, come la 5.4.6.
:: Riferimenti
https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://lists.debian.org/debian-security-announce/2024/msg00057.html
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZgfa3Q0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBC7hcAn14/8CrkjmnfNCdsKCZQJYTXhxYAAJ9f85XcNIpI
RZJa5jreVHM0IMgT+Q==
=f/sj
-----END PGP SIGNATURE-----
Alert ID: GCSA-24051
Data: 30 marzo 2024
Titolo: Compromissione supply chain della libreria di compressione XZ
*********************************************************************
:: Descrizione del problema
E' stata inserita una backdoor nella libreria XZ Utils versioni 5.6.0 e 5.6.1.
XZ Utils e' presente in varie distribuzioni Linux, e la sua compromissione
puo' consentire l'accesso non autorizzato ai sistemi che hanno servizi
esposti che la utilizzano. Trattandosi di una versione molto recente, e'
probabile che i sistemi interessati non siano tra le release stabili.
:: Software interessato
- - XZ Utils (liblzma) versioni 5.6.0 and 5.6.1
ed eventuali servizi che dipendono dalla libreria (per es. sshd).
:: Impatto
Accesso non autorizzato ai sistemi con servizi esposti che dipendono
dalla libreria compromessa.
:: Soluzioni
Eseguire il downgrade ad una versione stabile precedente, come la 5.4.6.
:: Riferimenti
https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://lists.debian.org/debian-security-announce/2024/msg00057.html
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZgfa3Q0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBC7hcAn14/8CrkjmnfNCdsKCZQJYTXhxYAAJ9f85XcNIpI
RZJa5jreVHM0IMgT+Q==
=f/sj
-----END PGP SIGNATURE-----