xzの最新版

XZ Utilsというツールがあります。
これは、フリーなコマンドライン可逆圧縮ソフトウェアのセットです。
gzipなどのツールと同じように利用することのできるツールで、よく利用されるツールの一つです。
このツールの最新版にマルウェアが含まれているという案内が出て、大きな話題になっています。

• 案内
  2024年3月29日にRedHatが警告記事を案内しています。
  Fedora Linux 40 betaを利用している環境が、場合によっては、問題のあるxz-libsのパッケージを含んでいる状態になっている可能性があるというものでした。
• 問題のあるパッケージ
  問題のあるxz-libsパッケージは、あるタイミングで最新のバージョンのものでした。
  対象のバージョンは、xz-libs-5.6.0-1.fc40 と xz-libs-5.6.0-2.fc40です。
  これらはいずれも、Fedora40向けのパッケージです。
  Fedora40の環境でパッケージを更新していた場合に、この問題のあるバージョンのパッケージを自身の環境に取り込んでいる可能性があります。
• 影響を受けるOS
  この情報は、いくつかのLinuxディストリビューションから案内されています。
  RedHat社の案内では、RedHatに関連するディストリビューションについての状況が公開されています。
  影響を受けることがわかっているのは、Fedora40とFedora Rawhideです。
  RedHat Enterprise Linuxについては、どのバージョンも影響を受けないとのことです。
  他のディストリビューションでも問題となるケースがありますので、なんらかのLinux環境を利用している場合には確認が必要です。
• 問題の内容
  詳細には、問題のあるコードの内容は、まだ解明されていません。
  しかし、現在わかっている範囲では、ssh認証に干渉することのできる機構を含むことが分かっていて、この問題が存在する状態の機器に対して、攻撃者がsshで不正に接続できる可能性があります。
• 対応
  問題のあるバージョンのパッケージを取り込んでしまっているかどうかは、コマンドで確認することが可能です。
  もし環境に問題のあるバージョンのものがある場合には、問題のない以前のバージョンに戻す作業を実施する必要があります。

今回の話は、RedHatの進めるディストリビューションのなかでは、最新の技術やソフトウェアを積極的に取り込むことを目的にしているディストリビューションにおいて顕在化した問題でした。
FedoraはRHELのためのステージングのように利用されていますし、Fedora RawhideはFedoraをローリングリリースで利用できる仕組みとなっています。
このニュースを聞いた人の中には、最新版に更新することの危険性を感じた方もいるのかもしれないと想像します。
しかし、利用しているシステムの更新をタイムリーに継続することの重要性はいまも変わりません。
新しい情報に目を向け、日々安全な運用を継続していきましょう。

参考記事（外部リンク）：Urgent security alert for Fedora Linux 40 and Fedora Rawhide users
www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users