“アップストリームのxzリポジトリとxz tarballsはバックドア化されている
主要なLinuxディストリビューションにはほぼ含まれているデータ圧縮プログラム
今回のxzの脆弱性により、影響を受けるとされるおもなディストリビューションは以下の通り。
- Fedora …開発中の
「Fedora Linux 40」 および 「Fedora Linux 41」 (rawhide) - openSUSE …ローリングリリースの
「openSUSE Tumbleweed 20240328」 移行のスナップショット (すでにバックドア削除のためのコンパイル済み) - Debian …開発中
(unstable) の 「Debian sid」
いずれも最新のパッケージを取り込んでいる開発中のディストリビューションに集中しており、現時点では実稼働中のバージョンでは影響は認められていない。また、影響を受けたバージョンもすでにxzのダウングレードやリコンパイルなどの処置が完了している。
- CVE-2024-3094: Urgent alert for Fedora Linux 40 and Rawhide users -Fedora Magazine
- CVE-2024-3094 -security-tracker.
debian. org - openSUSE addresses supply chain attack against xz compression library -openSUSE News
それは2021年に始まった
今回の騒動で驚かされたのは、主要開発者が直接、約3年もの長い時間をかけてバックドア化を図っていたという点だ。xzにバックドアを仕込んだのは、2人のxz主要開発者のうちのひとりであるJia Tanだと見られている。ある人物のブログによれば、Tanは2021年にGitHubアカウントを作成、2022年4月にメーリングリスト経由でxzのパッチを送信するが、ここで突然Jigar Kumarという謎の人物が登場し、このパッチを統合するようxz開発者のLasse Collinに圧力をかけ始めたという。加えてKumarは
PostgreSQL開発者が感じた“違和感”が最悪の事態になるのを救う
また、バックドアを発見したのがセキュリティエキスパートではなく、Microsoftに在籍するPostgreSQL開発者という点も興味深い。発見したFreundは
OpenSSHはliblzmaを直接使用しないが、Debianなどいくつかのディストリビューションではsystemdの通知をサポートするためにOpenSSHにパッチを適用しており、libsystemdはlzmaに依存している。なおFreundによれば
2021年12月に発見された
だがそうした困難を乗り越えていくのもまたオープンソース開発者自身であることをFreundのケースが示している。Microsoft CEOのSatya Nadellaは自社の開発者の発見をXでこう称賛している。
@AndresFreundTec
Love seeing how @AndresFreundTec, with his curiosity and craftsmanship, was able to help us all. Security is a team sport, and this is the culture we need everywhere. https://
— Satya Nadella (@satyanadella) March 31, 2024t. co/ M4OX2np8SE