-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheid verholpen in liblzma (XZ Utils)
Advisory ID : NCSC-2024-0140
Versie : 1.00
Kans : high
CVE ID : CVE-2024-3094
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Omzeilen van authenticatie
(Remote) code execution (Administrator/Root rechten)
Toegang tot systeemgegevens
Uitgiftedatum : 20240329
Toepassing : Tukaani XZ Utils
Versie(s) :
Platform(s) : Debian
openSUSE
RedHat
Linux
Beschrijving
Er is malafide code gevonden in liblzma (XZ Utils) software. XZ
Utils wordt gebruik voor compressie van data en is mogelijk aanwezig
in Linux distributies. De kwetsbaarheid heeft het kenmerk
CVE-2024-3094 gekregen en is aangetroffen in versie 5.6.0 en 5.6.1
van XZ Utils.
Een kwaadwillende kan de kwetsbaarheid misbruiken om authenticatie
te omzeilen en lijkt gebruikt te worden om SSH te compromitteren.
Mogelijke oplossingen
Op moment wordt door verschillende distros geadviseerd om te
downgraden naar een oudere versie van XZ Utils die niet
gecomprimeerd is.
Meer informatie:
https://www.redhat.com/en/blog
/urgent-security-alert-fedora-41-and-rawhide-users
https://github.com/tukaani-project/xz/releases/tag/v5.4.6
https://www.openwall.com/lists/oss-security/2024/03/29/4
-= Debian =-
Debian geeft aan dat er geen stable distro versies aangetast zijn
door de kwetsbaarheid. Debian versies testing, unstable en
experimenteel mogelijk wel.
https://lists.debian.org/debian-security-announce/2024/msg00057.html
-= RedHat =-
RedHat geeft aan dat geen RHEL versies aangetast zijn door de
kwetsbaarheid. Fedore 41 en Fedora Rawhide zijn wel aangetast en
door Redhat wordt geadvisseerd te stoppen met het gebruik hiervan.
https://access.redhat.com/security/cve/CVE-2024-3094
-= OpenSUSE =-
https://build.opensuse.org/request/show/1163302
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=2kZ7
-----END PGP SIGNATURE-----
