Alert GCSA-24051 - Compromissione supply chain della libreria di compressione XZ


******************************************************************

Alert ID: GCSA-24051
Data: 30 marzo 2024
Titolo: Compromissione supply chain della libreria di compressione XZ

*********************************************************************


:: Descrizione del problema

E' stata inserita una backdoor nella libreria XZ Utils versioni 5.6.0 e 5.6.1.

XZ Utils e' presente in varie distribuzioni Linux, e la sua compromissione
puo' consentire l'accesso non autorizzato ai sistemi che hanno servizi
esposti che la utilizzano. Trattandosi di una versione molto recente, e'
probabile che i sistemi interessati non siano tra le release stabili.


:: Software interessato

- - XZ Utils (liblzma) versioni 5.6.0 and 5.6.1

ed eventuali servizi che dipendono dalla libreria (per es. sshd).


:: Impatto

Accesso non autorizzato ai sistemi con servizi esposti che dipendono
dalla libreria compromessa.


:: Soluzioni

Eseguire il downgrade ad una versione stabile precedente, come la 5.4.6.


:: Riferimenti

https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://lists.debian.org/debian-security-announce/2024/msg00057.html


GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert

-----BEGIN PGP SIGNATURE-----

iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZgfa3Q0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBC7hcAn14/8CrkjmnfNCdsKCZQJYTXhxYAAJ9f85XcNIpI
RZJa5jreVHM0IMgT+Q==
=f/sj
-----END PGP SIGNATURE-----