Red Hat’den Kritik Uyarı: XZ Araçlarında Kritik Zafiyet, Acil Önlem Alın!

Red Hat, XZ Utils veri sıkıştırma araçlarında ve kütüphanelerinde bulunan kritk zafityet hakkında kritik bir uyarı yayınladı.

Red Hat, Cuma günü şu uyarıyı yaptı: “LÜTFEN ÇALIŞMA VEYA KİŞİSEL ETKİNLİKLER İÇİN HERHANGİ BİR FEDORA 41 VEYA FEDORA RAWHIDE SİSTEMLERİNİ HEMEN KULLANMAYI DURDURUN.” dedi

Red Hat, “Red Hat Enterprise Linux (RHEL) sürümleri etkilenmemiştir. Debian unstable (Sid) için derlenen xz 5.6.x sürümlerinde enjeksiyonların başarıyla yapıldığına dair raporlar ve kanıtlarımız var. Diğer dağıtımlar da etkilenebilir.” şeklinde de ek uyarıda bulundu.

Debian’ın güvenlik ekibi de bu konuda kullanıcıları uyararak kararlı Debian sürümlerinin etkilenen paketleri kullanmadığını ve etkilenen Debian test, unstable ve experimental dağıtımlarında XZ’nin 5.4.5 koduna geri alındığını belirtti. Ancak, 5.6.0 ve 5.6.1 sürümlerine enjekte edilen zararlı kodlar henüz tespit edilebilmiş değil.

XZ Nedir?

XZ, sıkıştırma ve arşivleme işlemleri için kullanılan bir veri sıkıştırma programı. XZ, genellikle Linux ve diğer Unix benzeri işletim sistemlerinde kullanılır ve yüksek sıkıştırma oranları sağlayarak dosya boyutunu azaltmak için kullanılır.

XZ Zafyeti

Red Hat, Fedora Beta’da XZ 5.4.x’e geri dönüyor!

Red Hat, konuyu yakından takip ederken zafiyet CVE-2024-3094 takip ediliyor ve 10/10 kritik önem derecesine sahip. Son olarak Fedora 40 beta’da XZ’nin 5.4.x sürümlerine geri dönüldü. Sizlerde bu sürümlerden herhangi birini kullanıyorsanız acil olarak gerekli kontrolleri sağlamanız gerekiyor.