2024-0849: XZ Utils: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit Administratorrechten

Historie:

Version 1 (2024-04-02 18:27)

Neues Advisory

Betroffene Software

Datensicherung

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann die Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode mit den Rechten des Dienstes 'sshd' auszuführen. Bis auf sehr seltene Ausnahmefälle wird 'sshd' mit den Privilegien von 'root' laufen. Ein erfolgreicher Angriff erfordert Zugriff auf dafür vorgesehenes Schlüsselmaterial und kann Einfluss auf andere Komponenten haben.

Nach aktuellem Kenntnisstand sind keine von diesem Advisory-Dienst unterstützten Distributionsversionen direkt von der Hintertür betroffen. Allerdings sind zahlreiche experimentelle Distributionsversionen und Rolling Releases, wie z. B. Debian Testing, Fedora 41 und Rawhide, OpenSUSE Tumbleweed, openSUSE MicroOS, NixOS und Arch Linux betroffen. Sollten Sie diese einsetzen, prüfen Sie bitte die entsprechenden Herstellerhinweise.

Als Vorsichtsmaßnahme werden von einigen Distributionen weitere Patches des Hintertürautors zurückgerollt und als Sicherheitsupdate veröffentlicht.

Schwachstellen:

CVE-2024-3094

Schwachstelle in XZ Utils ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.