Red Hat সতর্ক করছে যে XZ Utils-এ একটি দুর্বলতা, XZ ফরম্যাট কম্প্রেশন ইউটিলিটি অনেকগুলি Linux ডিস্ট্রিবিউশনে অন্তর্ভুক্ত একটি ব্যাকডোর। ব্যবহারকারীদের হয় ইউটিলিটিটিকে একটি নিরাপদ সংস্করণে ডাউনগ্রেড করা উচিত বা ssh সম্পূর্ণরূপে অক্ষম করা উচিত যাতে ব্যাকডোরটি কাজে লাগাতে না পারে৷
কোড ইনজেকশন দুর্বলতা (জন্য CVE-2024-3094), প্রমাণীকরণ প্রক্রিয়ার মধ্যে কোড ইনজেক্ট করে যা দূষিত অভিনেতাকে সিস্টেমে দূরবর্তী অ্যাক্সেস পেতে দেয়। লাল টুপি তার উপদেশে বলেছেন "অনুগ্রহ করে অবিলম্বে ফেডোরা র্যাহাইড ইন্সট্যান্সের ব্যবহার বন্ধ করুন কাজ বা ব্যক্তিগত ক্রিয়াকলাপের জন্য” — জোর দেওয়া — যতক্ষণ না কোম্পানি তার xz সংস্করণকে 5.4.x-এ ফিরিয়ে দেয় এবং সব-ক্লিয়ার দেয়। ত্রুটিটি একটি CVSS (কমন ভালনারেবিলিটি স্কোরিং সিস্টেম) স্কোর 10.0 নির্ধারণ করা হয়েছে।
ত্রুটি বিদ্যমান xz সংস্করণ 5.6.0 (24 ফেব্রুয়ারী প্রকাশিত) এবং 5.6.1 (9 মার্চ প্রকাশিত)। ইউএস সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) ডেভেলপার এবং ব্যবহারকারীদের পরামর্শ দেওয়া হয়েছে XZ ইউটিলসকে আগের, আপসহীন সংস্করণে ডাউনগ্রেড করতে, যেমন XZ ইউটিলস 5.4.6 স্থিতিশীল.
সিস্টেমটি প্রভাবিত সংস্করণটি চালাচ্ছে কিনা তা এখানে কীভাবে বলা যায়:
xz-সংস্করণ
যদি আউটপুট বলে xz (XZ UTils) 5.6.1 or liblzma 5.6.1, তারপর ব্যবহারকারীদের হয় তাদের বিতরণের জন্য আপডেটটি প্রয়োগ করা উচিত (যদি উপলব্ধ থাকে), xz ডাউনগ্রেড করুন, অথবা আপাতত ssh নিষ্ক্রিয় করুন।
যদিও সমস্যাটি প্রাথমিকভাবে লিনাক্স ডিস্ট্রিবিউশনকে প্রভাবিত করে, এমন রিপোর্ট রয়েছে যে MacOS-এর কিছু সংস্করণ আপস করা প্যাকেজগুলি চালাতে পারে। তা হলে দৌড় চোলাই আপগ্রেড ম্যাকের xz 5.6.0 থেকে 5.4.6 এ ডাউনগ্রেড করা উচিত।
কোন লিনাক্স ডিস্ট্রো প্রভাবিত হয়?
গুরুতর হলেও, প্রভাব সীমিত হতে পারে। সমস্যাযুক্ত কোডটি xz/liblzma এর নতুন সংস্করণে রয়েছে, তাই এটি ব্যাপকভাবে স্থাপন করা নাও হতে পারে। যে লিনাক্স ডিস্ট্রিবিউশনগুলি এখনও নতুন সংস্করণ প্রকাশ করেনি তাদের প্রভাবিত হওয়ার সম্ভাবনা কম।
লাল টুপি: Fedora 41 এবং Fedora Rawhide-এ দুর্বল প্যাকেজ রয়েছে। Red Hat Enterprise Linux (RHEL)-এর কোনো সংস্করণ প্রভাবিত হয় না। রেড হ্যাট বলেছে যে ব্যবহারকারীদের অবিলম্বে প্রভাবিত সংস্করণগুলি ব্যবহার করা বন্ধ করা উচিত যতক্ষণ না কোম্পানির xz সংস্করণ পরিবর্তন করার সুযোগ রয়েছে।
সুস: An আপডেট পাওয়া যায় OpenSUSE (Tumbleweed বা MicroOS) এর জন্য।
ডেবিয়ান লিনাক্স: বিতরণের কোনও স্থিতিশীল সংস্করণ প্রভাবিত হয় না, তবে আপোস করা প্যাকেজগুলি পরীক্ষার, অস্থির এবং পরীক্ষামূলক সংস্করণগুলির অংশ ছিল। ব্যবহারকারীদের উচিত xz-utils আপডেট করুন.
কালি লিনাক্স: যদি 26 মার্চ থেকে 29 মার্চের মধ্যে সিস্টেম আপডেট করা হয়, তাহলে ব্যবহারকারীদের উচিত ফিক্স পেতে আবার আপডেট করুন. যদি কালীর শেষ আপডেটটি 26 তারিখের আগে হয় তবে এটি এই ব্যাকডোর দ্বারা প্রভাবিত হয় না।
অন্যান্য বিতরণ তথ্য প্রদানের সাথে সাথে এই তালিকাটি আপডেট করা হবে।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils
