Início / computer / Perguntas / 1837655
Accepted
Felipe
Asked: 2024-04-03 10:26:07 +0800 CST

Quais são as implicações do bug CVE-2024-3094 (ssh/xz) e como minimizar possíveis danos?

  • 772

Quais são as reais implicações do bug CVE-2024-3094 (relacionado ao SSH e à biblioteca XZ) e como minimizar possíveis danos ao servidor?

ssh

2 respostas

  1. Best Answer

    Praticamente, se você estiver executando uma instalação centrada no servidor, é provável que eles não estejam usando uma compilação diretamente afetada. Suponho que qualquer comprometimento do malfeitor específico deva ser suspeito.

    Existem algumas coisas que restringem a suscetibilidade do seu sistema a essa exploração. De acordo com um artigo da Ars Technica

    Qualquer biblioteca pode interferir no funcionamento interno de qualquer executável ao qual esteja vinculada. Freqüentemente, o desenvolvedor do executável estabelecerá um link para uma biblioteca necessária para que ele funcione corretamente. OpenSSH, a implementação sshd mais popular, não vincula a biblioteca liblzma, mas o Debian e muitas outras distribuições Linux adicionam um patch para vincular sshd ao systemd, um programa que carrega uma variedade de serviços durante a inicialização do sistema. O Systemd, por sua vez, se vincula ao liblzma, e isso permite que o xz Utils exerça controle sobre o sshd.

    O que indica que isso é um tanto restrito.

    Eu também observaria que a maioria das distribuições afetadas são de última geração (rawhide, debian instável) ou para propósitos específicos (Kali). Esta exploração foi detectada cedo

    Em teoria, você pode evitar isso com um servidor SSH diferente ou fazendo uma compilação sem esses patches. A primeira é provavelmente uma opção melhor e mais sustentável, mas também parece uma reação exagerada

    Você também pode verificar qual versão do xz você possui.

    De acordo com o CVE

    A vulnerabilidade crítica afeta as versões 5.6.0 e 5.6.1 do XZ.

    É trivial verificar sua versão do XZ - atualmente estou executando uma versão do Ubuntu 22.04 na maior parte do meu homelab e nestes

    geek@utilityboxsp:~$ xz -V
xz (XZ Utils) 5.2.5
liblzma 5.2.5

    E isso roda 5.2.5, que não é afetado. É também de 2020, que acredito ser anterior à adesão do suposto mau ator ao projeto.

    Este é provavelmente o caso da maioria dos pacotes e distros que você executa em desktops e servidores. Essa é uma maneira rápida e fácil de verificar se você não está em uma versão afetada do xz.

    • 4

  2. Depende do servidor. Embora seja uma descoberta chocante, esse backdoor não afeta muitas distros Linux.

    De acordo com a Ars Technica , a exploração afeta principalmente distros Linux de ponta, como:

    • Couro cru Fedora
    • Fedora 41
    • Testes Debian, distribuições instáveis ​​e experimentais versões 5.5.1alpha-0.1 a 5.6.1-1
    • OpenSUSE Tumbleweed
    • openSUSE Micro OS
    • KaliLinux

    Felizmente, essa exploração foi detectada antes que pudesse chegar ao upstream em distros mais importantes/comuns, como Red Hat e Ubuntu.

    Na verdade, a Red Hat emitiu sua própria declaração sobre isso:

    Então, se você não estiver usando uma distribuição de última geração como as listadas acima? Não se preocupe! Se de alguma forma você é? Corrija e atualize o mais rápido possível. Os módulos afetados já foram corrigidos/corrigidos. Patch seu sistema e você deve ficar bem.

    PS: Sentindo-se ainda mais paranóico? Aqui está um verificador de backdoor XZ . Aprenda como gerar um binário ELF (necessário para o verificador backdoor XZ) nesta postagem do Stack Overflow .

    • 3

relate perguntas