Alerta de seguridad: liblzma/xz versiones 5.6.0 y 5.6.1 [CVE-2024-3094]
Alberto Sola · 3/31/2024 · 3 minLeyendo noticias me he encontrado con la alerta de seguridad CVE-2024-3094, una vulnerabilidad que parece poner en riesgo el servicio sshd mediante un backdoor bajo ciertas condiciones.
Aún es una noticia muy reciente y no se conoce cómo puede afectar realmente este problema, hasta que los expertos en seguridad nos den más información.
Te hago un resumen de la noticia, qué debes comprobar, cómo ha pasado y te dejo algunos enlaces de interés para que puedas profundizar.
TL;DR: fallo de seguridad en xz
XZ es un formato de compresión de datos que está presente en prácticamente todas las distribuciones linux, incluso en MacOS si utilizas hombebrew o algún gestor de paquetes.
Han encontrado un backdoor que en principio afecta a las versiones 5.6.0 y la 5.6.1, aunque no se conoce aún el alcance real y tendremos que estar atentos. Parece ser que crea una puerta trasera en el servicio sshd.
Debes comprobar si algunos de tus sistemas usa estas versiones, tanto en tu ordenador como en tus servidores. En mi caso, he evitado ejecutar el comando xz y he lanzado strings $(which xz) | grep "XZ Utils".
Según me he informado, parece ser que únicamente se activa bajo ciertas circunstancias (amd64, glibc, sshd/systemd) y que afecta al servicio sshd, que parece que permite acceso mediante un payload.
Insisto en que aún es una etapa temprana y no sabemos cómo puede afectar realmente hasta que los expertos de seguridad lo analicen, por lo que tendremos que estar atentos. Por suerte parece que esta actualización no ha llegado a muchas distribuciones, pero sí a algunas de ellas que ya lo han revertido.
Cómo ha surgido
Un desarrollador de Microsoft, haciendo testing de postgres notó que el comando ssh ocasionalmente daba errores en Debian, y consumía más CPU del que debía. Esto le llevó a lanzar un profiler y encontrar sospechas en el paquete liblzma que es parte de la utilidad xz. Puedes ver aquí el hilo de mails.
Parece ser que una persona, a través de ingeniería social consiguió ser contribuidor de este proyecto, y poco ha poco durante varios años ha ido introduciendo cambios hasta llegar a este punto. Puedes leer toda la historia sobre cómo ha ocurrido esto, muy bien contada y recopilada en este artículo.
Enlaces de interés
Añado estos otros dos enlaces donde puedes leer más información sobre el problema en detalle:
Si te ha resultado útil este artículo agradecería si te suscribes a mi newsletter. Recibirás contenido exclusivo de calidad y también me ayudarás enormemente. Cada suscripción apoya el trabajo que realizo y me permite conocer mejor los temas que te interesan, de forma que puedo mejorar los conocimientos que comparto contigo.