국내외 보안동향

XZ Utils 라이브러리 취약점(CVE-2024-3094) 주의!

알약4 2024. 4. 2. 13:53

 

 

 

XZ Utils 라이브러리는 데이터 압축/압축해제 시 사용되는 라이브러리로, Redhat, Ubuntu, Fedora 등 주요 Linux 배포판에 포함되어 있으며, 이번에 XZ Utils에서 발견된 취약점을 악용하면 공격자가 원격으로 임의 코드를 실행할 수 있습니다. 

 

 

취약점 번호

 

CVE-2024-3094

 

 

 

영향받는 버전 

 

Fedora 40 및  Fedora Rawhide 5.6.0-5.6.1 버전
Debian unstable(sid)  5.6.1 버전
Arch Linux  5.6.0-1, 5.6.1-1 버전
openSUSE Tumbleweed / openSUSE MicroOS 5.6.0 버전
Alpine edge 5.6.1-r2 버전

 

 

패치 방법

 

Fedora 40 및  Fedora Rawhide 5.4.x버전으로 다운그레이드
Debian unstable(sid) 5.4.5버전으로 다운그레이드
Arch Linux 5.6.1-2 로 업그레이드
openSUSE Tumbleweed / openSUSE MicroOS 5.4.x로 다운그레이드
Alpine edge 5.4.x 로 다운그레이드

 

 

 참고

 

xz설치 여부 확인방법

 

which xz

 

 

 

 

xz 버전 확인 방법

 

xz --version  혹은 xz -V

 

 

 

 

 

 

 

 

참고 

https://vulcan.io/blog/alert-cve-2024-3094
https://nvd.nist.gov/vuln/detail/CVE-2024-3094#close

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://security-tracker.debian.org/tracker/CVE-2024-3094
https://pkgs.alpinelinux.org/package/edge/main/x86/xz
https://archlinux.org/news/the-xz-package-has-been-backdoored/
https://news.opensuse.org/2024/03/29/xz-backdoor/