A Equipe de Resposta de Segurança da Tenable publicou no blog da empresa uma postagem sobre as “Perguntas Frequentes (FAQ) sobre a CVE-2024-3094”, uma porta dos fundos no XZ Utils, uma biblioteca de compressão amplamente utilizada encontrada em várias distribuições Linux.

• Siga o tecflow no Google News!
• Participe dos nossos canais no Telegram ou Whatsapp!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Google Podcast e Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui ou apoie o tecflow clicando neste link.

O que é XZ Utils e para que serve a biblioteca?

XZ é um tipo de compressão de dados sem perdas em sistemas operacionais semelhantes ao Unix, frequentemente comparado a outros formatos comuns de compressão de dados como gzip e bzip2. XZ Utils é uma ferramenta de linha de comando que contém funcionalidades para compressão e descompressão de arquivos XZ e liblzma, uma API semelhante ao zlib usada para compressão de dados e que também suporta o formato .lzma legado.

Como essa porta de fundo foi descoberta?

Em 29 de março, Andres Freund, um desenvolvedor do PostgreSQL na Microsoft, postou na lista de discussão de segurança de código aberto que descobriu uma comprometimento da cadeia de suprimentos envolvendo código malicioso obfuscado no pacote XZ enquanto investigava problemas de desempenho do SSH. De acordo com Freund e a RedHat, o código malicioso não está presente na distribuição Git para XZ e apenas no pacote de download completo.

Quais versões da biblioteca são afetadas?

De acordo com Freund, as versões 5.6.0 e 5.6.1 do XZ Utils são impactadas.

Esse código de porta de fundo foi explorado?

Nenhuma informação sobre a exploração desse código de porta de fundo foi observada até 29 de março. Como essa situação ainda está em desenvolvimento, a Tenable prometeu mais informações nos próximos dias e semanas.

Fonte: Tenable Blog

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.

Redação tecflow

Tecflow é um website focado em notícias sobre tecnologia com resenhas, artigos, tutoriais, podcasts, vídeos sobre tech, eletrônicos de consumo e mercado B2B.