Følgende distribusjoner av Linux ser ut til å være blant de berørte3:

  * Debian testing

  * Debian unstable

  * Fedora 40 (delvis2)

  * Fedora 41

  * Fedora Rawhide

  * OpenSUSE Tumbleweed

  * Kali Rolling

NCSC anbefaler virksomheter som benytter ovennevnte distribusjoner av Linux å umiddelbart nedgradere xz til en versjon før 5.6.0 (f.eks. 5.4.6)4, og oppdatere til en ny, sikker versjon av xz så snart den foreligger. Vi viser til de respektive distribusjonenes egne nettsider og e-postlister for slik informasjon.

Dersom en ikke kan nedgradere xz eller oppdatere til en sikker versjon, anbefaler vi å minimum sørge for at berørte maskiner ikke kan nås over SSH fra internett, eller å ta berørte maskiner helt av internett frem til sikker tilstand kan gjenopprettes.

Det er foreløpig usikkerhet knyttet til nøyaktig hva bakdøren gjør og hva slags forutsetninger som kreves for utnyttelse, men den ondsinnede koden blir minimum kjørt ved autentisering over SSH mot et kompromittert system. Det er dog usikkert om dette åpner for en form for tilgang eller videre eksekvering av kode2.

Det ser ut til at bakdøren ble oppdaget før eventuell distribusjon til Red Hat (RHEL), Ubuntu og Debian stable. I tillegg har NCSC informasjon om at bl.a. Alpine og Arch ikke er berørt på bakgrunn av manglene patching av openssh til å bruke libsystemd. Det ser også ut til at bakdøren kun fungerer på glibc-baserte systemer1.

NCSC er ikke kjent med aktiv utnyttelse eller bruk av bakdøren, men forventer at dette kan endre seg i tiden fremover.

Referanser:

1https://www.openwall.com/lists/oss-security/2024/03/29/4

2https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

3https://repology.org/project/xz/versions

4https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094