Russian Vulnerability Scanner Database

Back to List

BDU:2024-02406

Scores

EPSS

0.000none0.0%
0%20%40%60%80%100%

Percentile: 0.0%

CVSS

10.0critical3.x
0246810

CVSS Score: 10.0/10

All CVSS Scores

CVSS 3.x
10.0

Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 2.0
10.0

Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C

Description

Уязвимость библиотеки liblzma пакета для сжатия данных XZ Utils связана с наличием недекларированных возможностей. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный код

Scaner-VS 7 — a modern vulnerability management solution

Uses this database for vulnerability detection. High-speed search, cross-platform, advanced configuration audit, and flexible filtering. Suitable for organizations of any size.
Learn more about Scaner-VS 7

Sources

bdu

Related Vulnerabilities

CVE-2024-3094

Exploits

Exploit ID: CVE-2024-3094

Source: github-poc

URL: https://github.com/ElinaNotElina/cve-2024-3094-analysis

Reference Links

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-3094
https://access.redhat.com/security/cve/cve-2024-3094
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://news.opensuse.org/2024/03/29/xz-backdoor/
https://lists.debian.org/debian-security-announce/2024/msg00057.html
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024
https://bugs.gentoo.org/show_bug.cgi?id=CVE-2024-3094
https://security.archlinux.org/ASA-202403-1
https://forum.manjaro.org/t/xz-package-contains-a-vulnerability/159028
https://www.opennet.ru/opennews/art.shtml?num=60877
https://www.kaspersky.ru/blog/cve-2024-3094-vulnerability-backdoor/37222/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11/
https://security.ublinux.ru/CVE-2024-3094
https://abf.rosa.ru/advisories/ROSA-SA-2024-2409
https://abf.rosa.ru/advisories/ROSA-SA-2024-2408
https://abf.rosa.ru/advisories/ROSA-SA-2024-2407

Recommendations

Source: bdu

Установка стабильной версии программного обеспечения из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- переход на стабильную версию, не содержащую бэкдор (например, XZ Utils 5.4.6 Stable);
- использование антивирусного программного обеспечения (содержащего актуальные базы и YARA-правила) для отслеживания попыток эксплуатации уязвимости;
- изменение учётных данных в операционной системе, в которой было установлено уязвимое программное обеспечение, по причине их возможной компрометации.

Использование рекомендаций производителя:
Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/cve-2024-3094
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Для программных продуктов Novell Inc.:
https://news.opensuse.org/2024/03/29/xz-backdoor/

Для Debian/GNU Linux:
https://lists.debian.org/debian-security-announce/2024/msg00057.html
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024

Для Gentoo Security:
https://bugs.gentoo.org/show_bug.cgi?id=CVE-2024-3094

Для Arch Linux:
https://security.archlinux.org/ASA-202403-1

Для Manjaro:
https://forum.manjaro.org/t/xz-package-contains-a-vulnerability/159028

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения linux-firmware до версии 20240318.git3b128b60-0ubuntu2.osnova1

Для UBLinux:
https://security.ublinux.ru/CVE-2024-3094

Для ОС РОСА “КОБАЛЬТ”: https://abf.rosa.ru/advisories/ROSA-SA-2024-2409

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2408

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2407

URL: https://bdu.fstec.ru/vul/2024-02406

Vulnerable Software (22)

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: fedora 40

Trait: 
{  "version_exact": "5.6.0"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: fedora 40

Trait: 
{  "version_exact": "5.6.1"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: rosa virtualization 2.1

Trait: 
{  "version_exact": "5.6.0"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: rosa virtualization 2.1

Trait: 
{  "version_exact": "5.6.1"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: роса хром 12.4

Trait: 
{  "version_exact": "5.6.0"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: роса хром 12.4

Trait: 
{  "version_exact": "5.6.1"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: gentoo linux *

Trait: 
{  "version_exact": "5.6.0"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: gentoo linux *

Trait: 
{  "version_exact": "5.6.1"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: opensuse tumbleweed *

Trait: 
{  "version_exact": "5.6.0"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: opensuse tumbleweed *

Trait: 
{  "version_exact": "5.6.1"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: fedora 41

Trait: 
{  "version_exact": "5.6.0"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: fedora 41

Trait: 
{  "version_exact": "5.6.1"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: manjaro *

Trait: 
{  "version_exact": "5.6.0"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: manjaro *

Trait: 
{  "version_exact": "5.6.1"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: роса кобальт 7.9

Trait: 
{  "version_exact": "5.6.0"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: роса кобальт 7.9

Trait: 
{  "version_exact": "5.6.1"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: осон основа оnyx *

Trait: 
{  "version_exact": "5.6.0"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: осон основа оnyx *

Trait: 
{  "version_exact": "5.6.1"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: ublinux *

Trait: 
{  "version_exact": "5.6.0"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: xz utils

Operating System: ublinux *

Trait: 
{  "version_exact": "5.6.1"}

Source: bdu