XZ Utils の脆弱性に関する Neat からの声明

注：Neat サポートページのオリジナル文書 を Google 翻訳を使って翻訳後に一部修正、追記しています。

最終更新日: 2024 年 4 月 14 日

Neat では、製品とサービスのセキュリティを継続的に評価するよう努めています。問題や脆弱性が発見された場合、当社は問題の解決に迅速に取り組み、これをお客様やパートナーに伝えます。

セキュリティ コミュニティによる最近の分析によると、多くの人気のある Linux ディストリビューションで広く使用されているパッケージであるオープンソース ライブラリ XZ Utils に挿入された悪意のあるコードは、リモート コード実行を容易にするために使用される可能性があります。 CVE-2024-3094 としてリストされている XZ Utils サプライ チェーンの脆弱性は、CVSS (共通脆弱性スコアリング システム) の最高レベル 10.0 でスコア付けされています。

XZユーティリティとは何ですか?

XZ Utils は、Linux およびその他の Unix 系オペレーティング システムでデータの圧縮および解凍に使用されるコマンド ライン ツールです。

脆弱性の詳細

調査はまだ進行中ですが、悪意のあるバックドア コードはプロジェクト管理者の 1 人によって意図的にオープンソース コードに導入されたと言われているようです。サプライ チェーン攻撃により、脆弱なマシン上で SSH デーモン認証プロセスを通じてバックドアが作成されることが可能になります。悪意のあるコードを実行すると、リモートの攻撃者がマシン上で任意のコードを実行できるようになります。

このバックドアは XZ Utils 5.6.0 および 5.6.1 リリースに影響し、完全なパッケージ ダウンロードにのみ存在します。

現在の分析

当社は内部調査を完了し、XZ Utils サービスの脆弱性はNeat 製品には適用できないと判断しました。

参照した情報源

(Neat はサードパーティの Web サイトのコンテンツについては責任を負いませんのでご注意ください)

• The Hacker News – Malicious Code in XZ Utils for Linux Systems Enables Remote Code Execution

• NSFOCUS – XZ Utils Backdoor Vulnerability (CVE-2024-3094) Advisory

• ArsTechnica – Backdoor found in widely used Linux utility targets encrypted SSH connections

追加サポート

この通知および将来の潜在的なセキュリティ インシデントに関する最新情報については、サポート Web サイト (https://support.neat.no) にアクセスすることをお勧めします。 Neat デバイスで問題が発生した場合は、support@neat.no まで電子メールを送信してください。当社のテクニカル サポート エンジニアがご連絡いたします。

注: Neat は、現在リリースされているソフトウェアまたは以前のリリースのソフトウェアを実行している Neat デバイスのサポートを提供します。弊社のサポート ポリシーの詳細については、「Neat のテクニカル サポート ポリシー」の記事を参照してください。

重要: https://neat.no/privacy-policy/ で当社のプライバシー ポリシーをご覧ください。