Informazioni sul CVE-2024-3094
Xz: malicious code in distributed source
CWE ID: CWE-506
Base Score (CVSS): N/A
CVE: CVE-2024-3094
Descrizione: Malware è stato scoperto in i tarball upstream di xz, partendo dalla versione 5.6.0. Attraverso una serie di complessi ostruzioni, il processo di build di liblzma estrae un file oggetto predefinito da un file di test dissimulato presente nel codice sorgente, che viene poi utilizzato per modificare specifiche funzioni nel codice liblzma. Questo risulta in una libreria liblzma modificata che può essere utilizzata da qualsiasi software collegato a questa libreria, intercettando e modificando l’interazione dei dati con questa libreria.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://access.redhat.com/security/cve/CVE-2024-3094
- https://bugzilla.redhat.com/show_bug.cgi?id=2272210
- https://www.openwall.com/lists/oss-security/2024/03/29/4
- https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Prodotti interessati
- Sconosciuto – Sconosciuto
- Red Hat – Red Hat Enterprise Linux 6
- Red Hat – Red Hat Enterprise Linux 7
- Red Hat – Red Hat Enterprise Linux 8
- Red Hat – Red Hat Enterprise Linux 9
- Red Hat – Red Hat JBoss Enterprise Application Platform 8
Relazioni con altri prodotti
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 7
Anno: 2024
CWE: CWE-506
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8
Anno: 2024
CWE: CWE-506
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 9
Anno: 2024
CWE: CWE-506
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 6
Anno: 2024
CWE: CWE-506
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat JBoss Enterprise Application Platform 8
Anno: 2024
CWE: CWE-506
CVSS: 0.0