Wichtiger Sicherheitshinweis: Eine schwerwiegende Sicherheitslücke wurde in den Versionen 5.6.0 und 5.6.1 der XZ-Tools und -Bibliotheken, die von dem Open-Source-Anbieter Red Hat bereitgestellt werden, aufgedeckt. Es wurde bösartiger Code entdeckt, der Angreifern erlaubt, die Authentifizierungsmechanismen von sshd über systemd zu umgehen. Diese Sicherheitslücke ist unter der Kennung CVE-2024-3094 bekannt.
Die problematische Code-Injektion, die in den genannten Versionen von XZ vorhanden ist, wurde so gestaltet, dass sie nur im vollständigen Download-Paket sichtbar ist, während sie in der Git-Distribution durch das Fehlen eines bestimmten Makros, das den Schadcode aktiviert, verborgen bleibt. Der Schadcode interagiert mit sshd, dem Dienst, der den Zugriff auf das System über das SSH-Protokoll ermöglicht. Von diesem Sicherheitsrisiko sind bisher ausschließlich die Fedora-Versionen 41 und Fedora Rawhide innerhalb der Red Hat-Produktfamilie betroffen. Red Hat Enterprise Linux (RHEL) Versionen sind nicht betroffen, allerdings könnte das Risiko auch andere Distributionen betreffen.
IT-Sicherheitsbeauftragte sollten umgehend die Verwendung von Fedora 41 und Fedora Rawhide einstellen und XZ auf eine ältere, als sicher geltende Version wie 5.4.6 zurücksetzen. SUSE hat bereits eine Anleitung zum Downgrade veröffentlicht. Auch Nutzern anderer Distributionen wird dringend empfohlen, ein Upgrade auf die XZ-Versionen 5.6.x zu vermeiden oder zu früheren, sicheren Versionen zurückzukehren.