Lo scorso venerdì è stata segnalata una vulnerabilità importante sulla libreria xz, utilizzata da alcune distribuzione Linux come programma di compressione dati.
Nello specifico, il codice sorgente presente su Github è stato infettato con del codice malevolo opportunamente offuscato, che consente agli attaccanti di creare una backdoor per accedere in ssh ai sistemi infettati.
La CVE è al momento catalogata dal NIST con criticità 10.0, ovvero massima:
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
La vulnerabilità, scoperta quasi per caso da uno sviluppatore Microsoft, è presente nelle versioni 5.6.0 – 5.6.1
Si consiglia pertanto di effettuare il downgrade della versione della libreria xz nei sistemi che presentano tale release, o di disinstallarlo se non utilizzato.
Di seguito anche la nota ufficiale di Red Hat: