JPCERT コーディネーションセンター(JPCERT/CC)は4月1日、Linuxで広く利用されているファイル可逆圧縮ツール「XZ Utils」に悪意のあるコードが挿入された問題が確認されたとしてセキュリティ情報を発表した。影響の有無の調査や必要な対処の実施を検討するようアドバイスしている。
XZ Utilsは、さまざまなLinuxディストリビューションがサポートするデータ圧縮形式の「LZMA」「xz」に対応した可逆型ファイル圧縮・解凍のコマンドラインツールになる。3月29日に、XZ Utils 5.6.0/5.6.1においてバックドアが挿入されている問題(CVE-2024-3094)が報告された。
JPCERT/CCによれば、バックドアは2月24日頃に挿入されたと見られ、影響を受ける恐れのあるシステムでは、特定の条件下においてSSHポート経由で外部から攻撃者が接続できるなどの改ざんが行われる恐れがある。SUSEによれば、共通脆弱性評価システム(CVSS) v3での評価は最大値の「10.0」となっている。
XZ Utilsには複数の開発者がおり、その1人の「Lasse Collin」氏はウェブページで、問題が発覚したXZ Utils 5.6.0/5.6.1では、これに含まれるtarballsについて、同氏と共にXZ Utilsを開発していた「Jia Tan」氏が作成、署名を行ったと説明。「Jia Tan」氏がバックドアの問題にどう関与しているのかは言及していないが、4月第1週に詳しい内容を報告するとしている。
