우분투 xz-utils 패키지 Upstream Git 저장소 백도어 코드 발견

Sawatawa · 3월 30, 2024, 9:44오전

곧 릴리스 에정인 Ubuntu 24.04 LTS를 테스트로 사용하고 계신다면
사용을 중단하시길 권고드립니다.

우분투 xz-utils 패키지의 Upstream 프로젝트(GitHub 저장소)에서
2024년 2월 24일 이후에 발표된 릴리스된 버전 5.6.0~5.6.1 버전에서
백도어 코드가 발견되어 취약점 CVE-2024-3094으로 할당되었습니다.

현재 우분투 패키지 저장소는 5.6.1를 5.4.5로 돌아가는 패키지가
제안(proposed)되어 있습니다.

https://launchpad.net/ubuntu/+source/xz-utils
Noble (pre-release freeze)
 5.6.1+really5.4.5-1	proposed (main)	15 hours ago

Changelog
xz-utils (5.6.1+really5.4.5-1) unstable; urgency=critical

  * Non-maintainer upload by the Security Team.
  * Revert back to the 5.4.5-0.2 version 

 -- Salvatore Bonaccorso <email address hidden>  Thu, 28 Mar 2024 15:59:38 +0100

sukso96100 · 3월 30, 2024, 9:55오전

관련하여 proposed 된 버전의 패키지 상태는 여기서 확인이 가능하네요

https://launchpad.net/ubuntu/+source/xz-utils/5.6.1+really5.4.5-1

sukso96100 · 3월 30, 2024, 2:13오후

우분투 CVE 리포트에도 CVE-2024-3094 정보가 올라왔네요

sukso96100 · 3월 31, 2024, 2:25오전

5.4.5로 롤백하는 버전의 패키지가 릴리즈 되었습니다.

Sawatawa · 3월 31, 2024, 2:56오전

우분투 24.04의 Beta Freeze가 4월 1일 이었는데
그전에 수정된 패키지가 릴리스되어 다행입니다.

sukso96100 · 4월 2, 2024, 6:26오후

Xz 취약점 관련 추가 업데이트가 올라왔습니다.

kwhite32 · 4월 5, 2024, 1:43오전

https://www.boannews.com/media/view.asp?idx=128442&direct=mobile

기사가 사실이라면 오픈소스 생태계를 위협하는 심각한 사건이네요.