xz-utils の脆弱性について

2024年3月29日に、開発者が無損失圧縮を行うためのソフトウェアスイートであるxz-utilsにバックドアが発見されました。

このパッケージは、リリースのtarball、ソフトウェアパッケージ、カーネルイメージ、およびinitramfsイメージを圧縮するために一般的に使用されています。非常に広く配布されており、平均的なLinuxやmacOSシステムには便宜上インストールされていると統計的に言えます。

xz は zip, gzip などと並ぶ圧縮率が高いファイルアーカイブツールです。

先に、社内で対応が必要か、というと多くのシステムでは必要はなく、Amazon Linux, RedHat, Ubuntu, Debian などのメジャーリリース版では必要ありません。

対応が必要なシステムは、ローリングアップデート（ディストリビューションのバージョンで管理していない）を採用しているか、Ubuntu Unstable/Developmentといった開発版などで最新のパッケージを採用しているシステムの一部に影響があります。

Gentoo Linux など基本コンパイルが主体のローリングアップデートシステムでは地獄かもしれません。

事の経緯について詳しく書いていただいている記事を翻訳されているサイトがありました。

3年かけて信頼を得たうえでの犯行とは・・・。恐ろしい。

今回の事で私が得た教訓としては、

1. 最新の情報を得る持続的な方法をもつこと

2. 社内システムのログがあるか、参照する方法は周知されているかの確認

3. 万が一脆弱性が運用システムにあった場合を想定した対応訓練をすること

今回、私は30日の夕方にyahooリアルタイム検索でたまたま見つけたのですが、ほかにもQiita なども情報が早かった印象です。

日本のIT系ニュースでは、29, 30日の時点で最速はどこだったのでしょうね。そのあたりも調べてみようと思います。

SKY BLOGBLOG