A Red Hat emitiu um alerta de segurança urgente para usuários do Fedora Linux 40, Fedora Linux 41 e Fedora Rawhide sobre uma falha crítica de segurança identificada como CVE-2024-3094 nos pacotes XZ Utils 5.6.0 e 5.6.11.
A vulnerabilidade foi descoberta nos tarballs do XZ Utils 5.6.0 distribuídos via GitHub ou pelo site oficial do projeto, que incluíam arquivos .m4 extras com instruções para construir o software com uma versão inexistente do GNU Automake1.
Durante a compilação da biblioteca liblzma, um arquivo de objeto pré-construído é extraído de um dos arquivos de teste e usado para modificar funções específicas no código do XZ Utils.
Como a liblzma é usada por softwares como o sshd, isso poderia ser explorado por um ator mal-intencionado para obter acesso remoto ao sistema vulnerável.
Usuários do Fedora Linux 40 beta têm uma atualização disponível que reverte o pacote XZ para a versão 5.4.x, e ela deve estar disponível através do sistema normal de atualização. Para forçar a atualização, os usuários podem executar um comando específico no terminal.
O comando é esse: sudo dnf upgrade --refresh --advisory=FEDORA-2024-d02c7bb266
Embora os usuários do Fedora possam ser afetados, a Red Hat afirma que essa falha de segurança não afeta nenhuma das versões do Red Hat Enterprise Linux.
Outras distribuições GNU/Linux que incluem o XZ Utils 5.6.0 ou versões posteriores também podem ser afetadas
Até a própxima !!
Nenhum comentário:
Postar um comentário