一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月1日、XZ Utilsに悪意のあるコードが挿入された問題(CVE-2024-3094)について発表した。影響を受けるシステムは以下の通り。
スマートフォンアプリ「Yahoo! JAPAN」にXSSの脆弱性
XZ Utils 5.6.0 および 5.6.1
現地時間3月29日に、複数のLinuxディストリビューションなどで利用されているファイル可逆圧縮ツール XZ Utils に悪意のあるコードが挿入された問題(CVE-2024-3094)が確認されたとして、ツール開発元のThe Tukaani Projectの開発者やディストリビューターなどが情報を公開している。
同ツールの共同開発者は2024年2月24日頃に、悪意のあるコードを挿入しており、悪意のあるコードが挿入されたバージョンのツールがインストールされたシステムでは、特定条件下でSSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性がある。
JPCERT/CCでは、XZ Utilsを使っている可能性があるLinuxディストリビューションを利用している場合は、同ツールの開発者や各ディストリビューターが公開する最新の情報を参照し、影響の有無の調査や必要な対処の実施を検討することを推奨している。
