Uma vulnerabilidade crítica, identificada como CVE-2024-3094, foi descoberta no servidor OpenSSH, colocando os sistemas Linux em risco.
Esta falha permite que invasores contornem a autenticação do serviço, potencialmente comprometendo dados e sistemas.
A vulnerabilidade reside na biblioteca XZ Utils, que é usada pelo OpenSSH para compactação de dados. Em sua versão 3.6, a XZ Utils foi comprometida com uma backdoor, permitindo que invasores explorem a falha.
Esta descoberta foi feita pelo engenheiro de software da Microsoft, Andres Freund, enquanto investigava logins lentos de SSH em uma máquina Linux.
O Red Hat recomenda fortemente que os sistemas que executam versões de desenvolvimento e experimentais do Fedora sejam desligados imediatamente.
Embora o OpenSSH não use a liblzma diretamente, algumas distribuições, como Debian, aplicam patches ao OpenSSH para suportar notificações do Systemd, que depende da liblzma.
Distribuições Linux afetadas pela backdoor do OpenSSH incluem Debian Unstable e Testing. No entanto, versões regulares do Debian, como Bookworm, permanecem seguras.
O RHEL não é afetado, mas o Red Hat alerta contra o uso de instalações atuais do Fedora Rawhide.
É crucial que os usuários e administradores de sistemas afetados tomem medidas imediatas para mitigar esta ameaça, atualizando seus sistemas ou implementando medidas alternativas de segurança.