「XZ Utils」にバックドア（CVE-2024-3094）の問題もんだい　Fedora、Debian、Alpine、Kali、OpenSUSE、Arch Linuxの開発かいはつ版ばん、実験じっけん版ばんに影響えいきょう：OSSコミュニティーに衝撃しょうげき

主要しゅようなLinuxディストリビューションなどで広ひろく使用しようされている「XZ Utils」に、悪意あくいあるコードが挿入そうにゅうされた問題もんだい（CVE-2024-3094）が確認かくにんされた。

　2024年ねん3月がつ29日にち（米国べいこく時間じかん）、主要しゅようなLinuxディストリビューションなどで広ひろく使用しようされているファイル可逆かぎゃく圧縮あっしゅくツール「XZ Utils」に、悪意あくいあるコードが挿入そうにゅうされた問題もんだい（CVE-2024-3094）が確認かくにんされたとして、同どうツールの開発かいはつ元もとTukaani Projectの開発かいはつ者しゃやディストリビューター、セキュリティ企業きぎょうなどが情報じょうほうを公開こうかいした。

　JPCERTコーディネーションセンター（JPCERT/CC）によると、この悪意あくいあるコードは、XZ Utilsの開発かいはつに関かかわる共同きょうどう開発かいはつ者しゃによって2024年ねん2月がつ24日にちごろに挿入そうにゅうされた。このコードが挿入そうにゅうされたバージョンのXZ Utilsがインストールされたシステムは、特定とくてい条件下じょうけんかで、SSHポート経由けいゆで外部がいぶから攻撃こうげき者しゃが接続せつぞくできるような改かいざんが行おこなわれる可能かのう性せいがある。

　CVE-2024-3094の影響えいきょうを受うけるXZ Utilsのバージョンは、「XZ Utils 5.6.0」と「XZ Utils 5.6.1」だ。使用しよう中ちゅうのXZ Utilsのバージョンを確認かくにんする際さいは、影響えいきょうを受うけるバージョンを使用しようしている可能かのう性せいを考慮こうりょし、xzコマンドによる確認かくにんは避さけ、各種かくしゅパッケージ管理かんりソフトウェアのバージョン確認かくにんコマンドを使つかうよう推奨すいしょうしている。

　JPCERT/CCは、これらを使用しようしている可能かのう性せいがあるLinuxディストリビューションを利用りようしている場合ばあい、同どうツールの開発かいはつ者しゃや各かくディストリビューターが公開こうかいする最新さいしん情報じょうほうを参照さんしょうし、影響えいきょうの有無うむの調査ちょうさや必要ひつような対処たいしょの実施じっしを検討けんとうすることも推奨すいしょうしている。