Sicherheitslücke in XZ 5.6.0 und 5.6.1 behoben – Update auf Version 5.6.2 dringend empfohlen

Das Packprogramm XZ hat in der neuesten Version 5.6.2 eine Sicherheitslücke behoben, die in den Versionen 5.6.0 und 5.6.1 vorhanden war. Diese Lücke ermöglichte es Hackern, Zugriff auf das System zu erlangen. Die Entwickler haben sich darauf konzentriert, die Backdoor zu entfernen, die unter der Kennung CVE-2024-3094 im Verzeichnis für Common Vulnerabilities and Exposures aufgeführt ist. Diese Sicherheitslücke war für viele Distributionen ein Problem, so dass vorübergehend auf eine ältere XZ-Version vor 5.6.0 zurückgegriffen wurde.

Es ist erwähnenswert, dass der Fehler im korrekten Code vom Memory Sanitizer (MSAN) des Testwerkzeugs OSS Fuzz entdeckt wurde. Die XZ-Entwickler haben jedoch keine Änderungen vorgenommen, da es sich um eine irrtümliche Warnung handelte. Dennoch planen sie, den betroffenen CLMUL-Code in einer zukünftigen Version zu überarbeiten.

Neben der Behebung der Sicherheitslücke wurden auch kleinere Verbesserungen implementiert, wie zum Beispiel die Anpassung des Codes für das Parsen der –block-list , um dem C-Standard zu entsprechen.

Die neueste Version 5.6.2 des Packprogramms XZ steht ab sofort zum Download zur Verfügung. Es wird allen Nutzern dringend empfohlen, das Update durchzuführen, um die Sicherheit ihres Systems zu gewährleisten.

Schlagwörter: XZ + GitHub + CVE-2024-3094

Wie bewerten Sie den Schreibstil des Artikels?