I fredags gick Red Hat ut med att en kritisk sårbarhet identifierats i versionerna 5.6.0 och 5.6.1 av XZ Utils – datakompressionsmjukvaran som ingår i många Linuxdistributioner. Detta efter att säkerhetsforskaren Andres Freund upptäckt och rapporterat om problemet, som i praktiken innebär att skadlig kod i mjukvaran gör den till en så kallad bakdörr, utformad för att tillåta obehörig fjärråtkomst.
Red Hat bedömer att sårbarheten är av kritisk art, och ger den klassificeringen 10 av 10 på CVSSv3-skalan. Dessutom har den amerikanska myndigheten för cybersäkerhet och infrastruktursäkerhet (CISA) utfärdat en varning där användare ombeds att undersöka vilken version av verktyget de har installerad och vid behov nedgradera till en säkrare version.
Åtgärder för den som drabbats
I skrivande stund pekar det mesta på att spridningen av koden i xz/liblzma, som uppenbarligen är av allvarlig grad, åtminstone är begränsad. Exempelvis är inga versioner av Red Hat Enterprise Linux (RHEL) drabbade. Inte heller några stabila versioner av Debian Linux ska vara i farozonen.
Den som använder någon av följande distributioner bör dock vidta åtgärder:
Fedora 40/41 och Fedora Rawhide (användare rekommenderas att nedgradera till 5.4)
Kali Linux uppdaterat mellan 26 och 29 mars (användare rekommenderas att uppdatera)
Debian (instabila och experimentella versioner) (användare rekommenderas att uppdatera xz-utils)
För att ta reda på vilken version av verktyget som är installerad används kommandot xz --version. Visar utdatan xz (XZ UTils) 5.6.1 eller liblzma 5.6.1 är det viktigt att se efter om det finns någon uppdatering för den aktuella distributionen och i så fall installera den, nedgradera xz eller inaktivera ssh.
