LinuxをはじめとしたUNIX系のオペレーティングシステムで広く使用されている「xz」に重大なセキュリティ問題が発見されました。
sshに影響を与え、CVSS(Common Vulnerability Scoring System)10.0の重大な欠陥と位置づけられていますが、バックドアを仕掛けられたxzが主要なLinuxディストリビューションの製品版に導入される前に見つかったことから、深刻な実害は発生していないと考えられています。
この脆弱性を発見したAndres Freund氏が、実はMicrosoftの社員であったことが注目されています(Neowin)。
同氏はsshポートの接続に500ミリ秒の遅延が生じる原因を探すうちに、xzに埋め込まれたバックドアを偶然発見し、バックドアを報告するメールをつぎのように書き出しています。
Hi,
After observing a few odd symptoms around liblzma (part of the xz package) on Debian sid installations over the last weeks (logins with ssh taking a lot of CPU, valgrind errors) I figured out the answer:
The upstream xz repository and the xz tarballs have been backdoored.
At first I thought this was a compromise of debian's package, but it turns out to be upstream.
liblzma(xzパッケージの一部)にまつわるいくつかの奇妙な症状(sshでのログインに多くのCPUを消費したり、valgrindのエラー)をここ数週間観察した結果、答えることができた:
アップストリームの xz リポジトリと xz tarball がバックドアされているのだ。
最初、これはdebianのパッケージが侵害されたと思っていたが、アップストリームであることがわかった。
この後バックドアの詳細の説明が続いています。
この結果、xz utils version 5.6.0と5.6.1に脆弱性が存在することが確認され、米国サイバーセキュリティ・インフラセキュリティ局(CISA)は以下のコマンドを実行して、古いバージョンを使用することを推奨しています(すでにパッチ済みバージョンが存在する場合はそちらを使用した方が良いと思います)。
xz --version
かつてはMicrosoftがLinuxを敵視していた時代もありましたが、現在はWindowsにLinux(WSL)を搭載するなど、深い関係にあることがうかがえます。