採用情報

お問い合わせ

お知らせ

お知らせ

CVE-2024-3094 XZ Utils の脆弱性について

2024 年 4 月 5 日

2024 年 3 月 29 日に主要な Linux ディストリビューションで広く利用されているファイル可逆圧縮ツール「XZ Utils」において脆弱性(CVE-2024-3094)が確認されました。
この脆弱性は、特定の XZ Utils のバージョンに悪意のあるコードが含まれていたため、特定の条件下において外部から ssh ポート経由で侵入されるなどの影響があるというものです。なお、MIRACLE LINUX、AlmaLinux および EMLinux においては、対象のバージョンのパッケージをリリースしていないため本脆弱性の影響を受けることはありません。

<関連 URL>

脆弱性の概要

Xz Utils に含まれる liblzma には、細工されたオブジェクトファイルにより liblzma がビルド時に改変されてしまう問題があるため、liblzma を用いる OpenSSH をはじめとしたソフトウェアは、バックドアを仕掛けられるなどの影響を受ける可能性があります。

影響を受けるバージョン

XZ Utils 5.6.0 および 5.6.1

MIRACLE LINUX への影響

MIRACLE LINUX では該当バージョンの XZ Utils はリリースしていないため影響ありません。

AlmaLinux への影響

AlmaLinux では該当バージョンの XZ Utils はリリースしていないため影響ありません。

<関連 URL>

EMLinux への影響

EMLinux では該当バージョンの XZ Utils はリリースしていないため影響ありません。

2024/04/05 現在での各 OS バージョンで採用されている XZ Uitls バージョン
MIRACLE LINUX の各メジャーバージョン インストールされている XZ Utils のバージョン
MIRACLE LINUX V7 5.2.2-2
MIRACLE LINUX 8 5.2.4-4
MIRACLE LINUX 9 5.2.5-8
AlmaLinux の各メジャーバージョン インストールされている XZ Utils のバージョン
AlmaLinux 8 5.2.4-4
AlmaLinux 9 5.2.5-8
EMLinux の各メジャーバージョン インストールされている XZ Utils のバージョン
EMLinux 2.x 5.2.4-1+deb10u1
EMLinux 3.x 5.4.1-0.2

xz のバージョンの確認方法

MIRACLE LINUX および AlmaLinux においては、rpm コマンドを用いて xz のバージョンを確認してください。

$ rpm -q xz
xz-5.2.5-7.el9.x86_64

EMLinux においては、OS イメージのビルド後に生成される manifest ファイルを参照して xz-utils(xz, liblzma) のインストール有無およびバージョンを確認してください。

xz のバージョンが 5.6.0-1 よりも古いバージョンであれば CVE-2024-3094 の脆弱性の影響を受けません。

なお、当社における関連事業の取り組みに変更はありません。

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime