□ 개요
주요 리눅스 배포판에서 데이터 압축을 위해 널리 사용되는 오픈 소스 유틸리티인 ‘XZ Utils’ 에서 백도어가 발견되었다. 백도어는 ‘XZ Utils’의 최근 릴리즈 버전인 5.6.0과 5.6.1에서 발견되었으며, 해당 GitHub 프로젝트는 현재 중단된 상태이다.
□ XZ Utils 취약점
CVE-2024-3094 취약점(CVSS. 10)은 XZ Utils에 영향을 미치는 공급망 손상으로 인해 발생한다. 일련의 복잡한 난독화를 통해 liblzma 빌드 프로세스는 소스코드에 존재하는 위장된 테스트 파일에서 사전 빌드된 개체 파일을 추출한 다음, liblzma 코드의 특정 함수를 수정한다. 이로 인해, liblzma 라이브러리가 손상되어 라이브러리를 활용하는 다른 애플리케이션의 데이터를 수정하거나 가로챌 수 있다. 특정 조건에서 이 코드는 영향을 받는 시스템에 대한 무단 액세스를 허용할 수 있다.
□ 영향받는 버전
취약점의 영향을 받는 리눅스 배포판 및 패키지는 다음과 같다.
|
리눅스 배포판 |
영향받는 패키지 |
해결 방안 |
|
Fedora |
xz-5.6.0-* xz-5.6.1-* |
Fedora 40 (5.4.x) 버전 사용 |
|
Debian |
xz-utils 5.5.1alpha-0.1, 5.6.1-1 |
최신버전으로 업데이트 (5.6.1+really5.4.5-1) |
|
Alpine |
xz 5.6.1-r0, 5.6.1-r1 |
최신버전으로 업데이트 (5.6.1-r2) |
|
Kali |
xz-utils 5.6.0-0.2 |
최신버전으로 업데이트 (5.6.1+really5.4.5-1) |
|
OpenSUSE |
xz-5.6.0, xz-5.6.1 |
최신버전으로 업데이트 (5.6.1.revertto5.4) |
|
Arch Linux |
xz 5.6.0-1 |
최신버전으로 업데이트 (5.6.1-2) |
다음 배포판은 취약점의 영향을 받지 않는다.
|
배포판 |
설명 |
|
|
Red Hat Enterprise Linux |
어떤 버전의 Red Hat Enterprise Linux(RHEL)도 영향을 받지 않음 |
|
|
Ubuntu |
취약한 xz-utils 버전이 “noble-proposed”에 포함되어 있었지만, “noble”로 마이그레이션되기 전에 제거됨 |
|
|
Amazon Linux |
||
|
Wolfi |
Wolfi의 OpenSSH는 liblzma에 연결되지 않으므로 백도어의 영향을 받지 않음 |
|
□ 완화 방안
- 오픈소스 CVE-2024-3094 탐지도구를 사용하여 영향도 평가
- XZ Utils의 취약점이 포함되지 않은 버전으로 최신 업데이트 또는 다운그레이드
※ Fedora Linux 40 사용자는 XZ Utils 5.4 빌드로 다운그레이드
- XZ 취약점 탐지 서비스 이용
□ 참고자료
- https://jfrog.com/blog/xz-backdoor-attack-cve-2024-3094-all-you-need-to-know/
- https://unit42.paloaltonetworks.com/threat-brief-xz-utils-cve-2024-3094/
- https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
- https://blog.tmint.dev/posts/xz-backdoor-incident/