この記事 きじ は会員 かいいん 限定 げんてい です。会員 かいいん 登録 とうろく (無料 むりょう ) すると全 すべ てご覧 らん いただけます。
2024年 ねん 3月 がつ 29日 にち (米国 べいこく 時間 じかん )、主要 しゅよう なLinuxディストリビューションなどで広 ひろ く使用 しよう されているファイル可逆 かぎゃく 圧縮 あっしゅく ツール「XZ Utils」に、悪意 あくい あるコードが挿入 そうにゅう された問題 もんだい (CVE-2024-3094)が確認 かくにん されたとして、同 どう ツールの開発 かいはつ 元 もと Tukaani Projectの開発 かいはつ 者 しゃ やディストリビューター、セキュリティ企業 きぎょう などが情報 じょうほう を公開 こうかい した。
JPCERTコーディネーションセンター(JPCERT/CC)によると、この悪意 あくい あるコードは、XZ Utilsの開発 かいはつ に関 かか わる共同 きょうどう 開発 かいはつ 者 しゃ によって2024年 ねん 2月 がつ 24日 にち ごろに挿入 そうにゅう された。このコードが挿入 そうにゅう されたバージョンのXZ Utilsがインストールされたシステムは、特定 とくてい 条件下 じょうけんか で、SSHポート経由 けいゆ で外部 がいぶ から攻撃 こうげき 者 しゃ が接続 せつぞく できるような改 かい ざんが行 おこな われる可能 かのう 性 せい がある。
CVE-2024-3094の影響 えいきょう を受 う けるXZ Utilsのバージョンは、「XZ Utils 5.6.0」と「XZ Utils 5.6.1」だ。使用 しよう 中 ちゅう のXZ Utilsのバージョンを確認 かくにん する際 さい は、影響 えいきょう を受 う けるバージョンを使用 しよう している可能 かのう 性 せい を考慮 こうりょ し、xzコマンドによる確認 かくにん は避 さ け、各種 かくしゅ パッケージ管理 かんり ソフトウェアのバージョン確認 かくにん コマンドを使 つか うよう推奨 すいしょう している。
JPCERT/CCは、これらを使用 しよう している可能 かのう 性 せい があるLinuxディストリビューションを利用 りよう している場合 ばあい 、同 どう ツールの開発 かいはつ 者 しゃ や各 かく ディストリビューターが公開 こうかい する最新 さいしん 情報 じょうほう を参照 さんしょう し、影響 えいきょう の有無 うむ の調査 ちょうさ や必要 ひつよう な対処 たいしょ の実施 じっし を検討 けんとう することも推奨 すいしょう している。
続 つづ きを閲覧 えつらん するには、ブラウザの JavaScript の設定 せってい を有効 ゆうこう にする必要 ひつよう があります。
Copyright © ITmedia, Inc. All Rights Reserved.