Linuxのファイル可逆圧縮ツールにバックドア、JPCERT/CCが確認呼び掛け

今回は「Linuxのファイル可逆圧縮ツールにバックドア、JPCERT/CCが確認呼び掛け」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 JPCERT コーディネーションセンター(JPCERT/CC)は4月1日、Linuxで広く利用されているファイル可逆圧縮ツール「XZ Utils」に悪意のあるコードが挿入された問題が確認されたとしてセキュリティ情報を発表した。影響の有無の調査や必要な対処の実施を検討するようアドバイスしている。

 XZ Utilsは、さまざまなLinuxディストリビューションがサポートするデータ圧縮形式の「LZMA」「xz」に対応した可逆型ファイル圧縮・解凍のコマンドラインツールになる。3月29日に、XZ Utils 5.6.0/5.6.1においてバックドアが挿入されている問題(CVE-2024-3094)が報告された。

 JPCERT/CCによれば、バックドアは2月24日頃に挿入されたと見られ、影響を受ける恐れのあるシステムでは、特定の条件下においてSSHポート経由で外部から攻撃者が接続できるなどの改ざんが行われる恐れがある。SUSEによれば、共通脆弱性評価システム(CVSS) v3での評価は最大値の「10.0」となっている。

 XZ Utilsには複数の開発者がおり、その1人の「Lasse Collin」氏はウェブページで、問題が発覚したXZ Utils 5.6.0/5.6.1では、これに含まれるtarballsについて、同氏と共にXZ Utilsを開発していた「Jia Tan」氏が作成、署名を行ったと説明。「Jia Tan」氏がバックドアの問題にどう関与しているのかは言及していないが、4月第1週に詳しい内容を報告するとしている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
[速報]Google、再生可能エネルギー活用のためデータセンター間で動的にタスクを移動できるようにしたと発表。Google I/O 2021
Google
2021-05-19 17:30
自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう
セキュリティ
2021-07-21 01:42
ヒューゴー賞がビデオゲーム部門最終候補6本を発表、「あつ森」「FF7リメイク」もノミネート
ゲーム / eSports
2021-04-16 18:07
アクセス元の都道府県と市レベルの住所が分かるAPI、Cloudflareがエッジ上のCloudflare Workersで提供へ
Cloudflare
2021-04-15 17:25
クラウド契約「クラウドサイン」、スマートキャビネット機能を追加–契約書管理を自動化
IT関連
2022-03-29 22:40
AWS、API経由で生成AIを利用する「Amazon Bedrock」正式リリース。コード生成AIのCodeWhispererのカスタマイズも可能に
AWS
2023-10-02 05:55
2028年の国内ローカル5G市場規模は672億円–IDC予測
IT関連
2024-04-04 09:22
IPOを控えたソフトバンク出資のインド発ホテルチェーン「Oyo」にマイクロソフトが出資
IT関連
2021-08-22 21:44
【コラム】ソーシャルメディアとマッチングアプリが抱える深刻な身元確認問題
IT関連
2022-01-18 04:33
Amazonに大打撃を与えるインドRelianceによるFutureの資産買収を同国証券取引所が承認
ネットサービス
2021-01-22 04:40
トヨタのウーブン・プラネットが高精細地図スタートアップCarmeraを買収
モビリティ
2021-07-16 15:44
マイクロモビリティのBirdがSPAC合併で間もなく上場との報道
モビリティ
2021-05-12 12:40
SpaceXの大型宇宙船Starshipが3度目の試験飛行で高度10kmまで上昇〜着陸に成功
宇宙
2021-03-05 18:00
ルイ・ヴィトン、ゲームアプリを公開へ ブロックチェーン採用、著名作家のNFTアートも
くらテク
2021-08-04 09:49