2024. március 29-én egy hátsó ajtót azonosítottak az XZ Utils-ban, egy Linux operációs rendszerekben gyakran használt szoftvercsomagban.
Ez a fejlemény arra késztette az amerikai Cybersecurity and Infrastructure Agency-t (CISA), hogy kiadjon egy figyelmeztetést, amelyben azt tanácsolja a felhasználóknak, hogy állítsák vissza az XZ Utils-t egy biztonságos verzióra, például az XZ Utils 5.4.6 Stable-re, és hivatkozhatnak a CVE-2024-3094-re, amely kifejti, hogy rosszindulatú kód van jelen az XZ Utils csomag 5.6.0/5.6.1 verzióiban, és az SSH hitelesítés megkerülését eredményezheti.
Mivel ez a csomag ennyire elterjedt, más szoftvercsomagokkal is kölcsönhatásba lép, és rosszindulatú szándékkal kihasználható, a felfedezése számos szervezet számára cselekvési felhívást jelent, ahogyan azt a múltban a Log4j-hez hasonló, széles körben elterjedt iparági esemény esetében is tették.
Ez a CVE hatással van az OPSWAT működésére?
az OPSWATáltal használt Linux operációs rendszerek és a rájuk telepített csomagok átfogó felülvizsgálata után az OPSWAT megerősíti, hogy az OPSWAT rendszerek egyike sem tartalmazza az XZ Utils csomag 5.6.0 vagy 5.6.1 verzióját.
Ez az önéletrajz hatással van az OPSWAT termékekre és szolgáltatásokra?
OPSWAT alaposan felülvizsgálta a kifejlesztett termékeinket és azok szoftverfüggőségeit is. Ennek eredményeként az OPSWAT megerősítheti, hogy az XZ Utils 5.6.0 vagy 5.6.1 nem szerepel termékeiben vagy szolgáltatási kínálatában.
Tekintettel a biztonság iránti elkötelezettségünkre, biztosítani akartuk, hogy a legkorábbi értékelésünk elérésekor hatékonyan tájékoztassuk a frissítésről.
Ha bármilyen kérdése vagy aggálya van, kérjük, ne habozzon közvetlenül kapcsolatba lépni velünk bármelyik támogatási csatornánkon keresztül.
