xz backdoor incident

개요

• xz(혹은 xz-utils)라는 범용 데이터 압축을 다루기 위한 라이브러리로 오픈 소스 라이선스로 공개되어 있다.
• 이 라이브러리의 최근 릴리즈 버전인 5.6.0과 5.6.1에 ssh 데몬을 주 타겟으로 하는 백도어가 심어졌다는 사실이 알려졌다.
• 이로 인해 이 버전을 패키징해서 배포하는 리눅스 배포판들이 이전 버전으로 롤백했다.

사실관계

• 문제의 백도어가 들어있는 소스 패키지를 배포한 사람은 이 프로젝트의 메인테이너 중 한 명인 Jia Tan(GitHub 계정 JiaT75)이다.
• 백도어가 심어진 배포본을 호스팅한 GitHub 조직 계정에 있는 .github 리포지터리를 제외한 모든 리포지터리와 두 명의 메인테이너 계정(Larhzu, JiaT75)은 비활성화 되었다.
• 한편 다른 메인테이너인 Lasse Collin은 이 사건에 대한 대응으로 자신이 운영하는 사이트에 별도의 페이지를 만들어 관련 사실을 알리고 있다.

그래서 어떻게 해야하는가?

• 아래에 나열된 리눅스 배포판을 사용 중이고, 문제가 되는 패키지의 버전이 설치된 경우, 즉시 패키지를 업데이트한다.

영향을 받은 배포판

• 아치 리눅스
  • 설치 미디어 2024.03.01
  • 가상머신 이미지 20240301.218094, 20240315.221711
  • 2024년 2월 24일부터 2024년 3월 28일 사이에 생성된 모든 컨테이너 이미지
• 칼리 리눅스
  • 3월 26일부터 3월 29일 사이에 배포된 xz-utils 5.6.0-0.2 패키지를 설치한 경우만 해당
• 데비안 리눅스
  • 시험(testing)/불안정(unstable)판만 해당
• 페도라 리눅스
  • 41 및 불안정판(Rawhide)만 해당
  • 레드햇에서 CVE ID CVE-2024-3094를 할당했다.
• OpenSUSE
  • 3월 7일부터 3월 28일 사이에 배포된 Tumbleweed, MicroOS 배포판만 해당
  • 아울러 정교한 백도어의 특성상 탐지가 거의 불가능하니 SSH 포트가 (인터넷) 외부에 열려있는 시스템에 대해 완전 재설치(installing fresh)하고 시스템에서 사용중인 암호/키(credentials)들을 교체할 것을 권고했다.
• 알파인 리눅스
  • edge 브랜치만 해당
• 우분투 리눅스
  • 24.04 LTS (미발표) 버전만 해당

영향을 받지 않는 배포판

• 아마존 리눅스
• FreeBSD
• Red Hat Enterprise Linux - 위 CVE ID 페이지 참조.

관련 링크

• FAQ
• 해커 뉴스 댓글 페이지
• 압축/암호화된 백도어 바이너리를 푸는 과정을 분석한 글

• Xz
• Xz-Utils
• Backdoor
• Incident
• Cve
• Linux