Le 29 mars 2024, une porte dérobée a été identifiée dans XZ Utils, un logiciel couramment utilisé dans les systèmes d'exploitation Linux.
Cette évolution a conduit l'Agence américaine pour la cybersécurité et les infrastructures (CISA) à publier un avertissement, conseillant aux utilisateurs de revenir à une version sécurisée de XZ Utils, telle que XZ Utils 5.4.6 Stable, et peut être référencée dans CVE-2024-3094 qui explique qu'un code malveillant est présent dans les versions 5.6.0/5.6.1 du paquet XZ Utils et peut entraîner le contournement de l'authentification SSH.
Étant donné que ce logiciel est couramment utilisé, qu'il interagit avec d'autres logiciels et qu'il peut être exploité par une personne malveillante, sa découverte constitue un appel à l'action pour de nombreuses organisations, comme cela a été le cas dans le passé pour des événements industriels similaires très répandus tels que Log4j.
Ce CVE a-t-il un impact sur les opérations de OPSWAT ?
Après un examen approfondi de l'utilisation par OPSWATdes systèmes d'exploitation Linux et des paquets qui y sont installés, OPSWAT peut confirmer qu'aucun système OPSWAT ne contient la version 5.6.0 ou 5.6.1 du paquet XZ Utils.
Ce CVE a-t-il un impact sur les produits et services de OPSWAT ?
OPSWAT a également procédé à un examen approfondi des produits qu'elle a développés et de leurs dépendances logicielles. En conséquence, OPSWAT peut confirmer qu'il n'inclut pas XZ Utils 5.6.0 ou 5.6.1 dans ses produits ou ses offres de services.
Compte tenu de notre engagement en matière de sécurité, nous voulions nous assurer que nous communiquions efficacement une mise à jour dès notre première évaluation.
Si vous avez des questions ou des préoccupations, n'hésitez pas à nous contacter directement par l'intermédiaire de l'un de nos canaux d'assistance.
