De kans op misbruik van de backdoor die in datacompressietool XZ is aangetroffen en de schade die dit kan aanrichten is 'hoog', zo waarschuwt het Nationaal Cyber Security Centrum (NCSC) in een advisory. Gisteren werd bekend dat in versie 5.6.0 en 5.6.1 van XZ Utils malafide code is aangetroffen. "Een kwaadwillende kan de kwetsbaarheid misbruiken om authenticatie te omzeilen en lijkt gebruikt te worden om SSH te compromitteren", aldus het NCSC.

XZ is software voor het comprimeren en decomprimeren van bestanden en is in de meeste Linux-distributies aanwezig. Via de gevonden backdoor zou een aanvaller toegang tot besmette systemen kunnen krijgen. "De kans en schade van deze kwetsbaarheid beoordelen wij als High/High. Wij adviseren u ons beveiligingsadvies op te volgen", zo laat het NCSC op X weten. Als oplossing wordt gewezen naar het advies dat verschillende Linux-distributies als gaven, namelijk het downgraden naar een oudere versie van XZ die niet gecomprimeerd is.

Red Hat stelt dat de backdoor aanwezig is in Fedora 41 en Fedora Rawhide. Het gebruik van deze distributies wordt afgeraden. Debian meldde dat de stable distributies niet zijn aangetast, wel de testing, unstable en experimentele versies. De backdoor heeft ook een CVE-nummer gekregen, namelijk CVE-2024-3094. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.