xz-utils 5.6.0 / 5.6.1 버전을 사용하고 계신 경우 가능하면 낮은 버전으로 다운그레이드 또는 최신 버전으로 업그레이드를 진행하시고, WSL, macOS 사용자 분들께서는 곧 배포될 보안 업데이트를 놓치지 마시고 꼭 챙기셔야 겠습니다.

OpenAI 요약

최근 XZ Utils와 관련된 취약점이 큰 이슈가 되고 있습니다. 이 취약점은 CVE-2024-3094로 등록되었으며, Red Hat에 의해 공개되었습니다. 이 문제는 XZ Utils의 5.6.0 및 5.6.1 버전에서 발견되었습니다.

Cleemy Desu Wayo에 의해 발견된 이 취약점은 XZ Utils가 특정 파일명을 잘못 처리하는 것과 관련이 있습니다. 구체적으로, 사용자나 자동화 시스템이 특별히 조작된 파일명을 가지고 xzgrep 작업을 수행하도록 속일 경우, 원격 공격자가 임의의 파일을 덮어쓸 수 있는 가능성이 있습니다.

이 보안 결함은 심각한 위험을 제기하며, 가능한 위협을 완화하기 위해 즉시 업데이트나 패치를 적용해야 합니다. 사용자들은 이 취약점과 관련된 보안 침해를 피하기 위해 설치된 프로그램을 신속하게 업데이트할 것이 권장됩니다​ (Wikipedia 6)​​ (Cloud Foundry 2)​.

참고 자료

• xz-utils backdoor situation · GitHub 23
• NVD - CVE-2024-3094 4
• 구인회 10

이번 xz 이슈가 워낙 파급력이 강하고 강렬해서 그렇긴 합니다만, 사실 닷넷에서도 nuget이나 winget처럼 커뮤니티 주도로 패키지 리포지터리를 운영하는 환경에서 패키지를 선택해서 사용할 때는 무척 주의를 기울여야 하는 부분이 있습니다.

옆 동네 사례 중에는 log4j라는 악몽도 있었고요.