Des chercheurs en sécurité ont révélé une vulnérabilité critique ( CVE-2024-3094 ) dans XZ Utils utilisé dans les distributions Linux. XZ Utils est victime d'une « Supply Chain » attaque La vulnérabilité a un score CVSSv3 (Common Vulnerability Scoring System) de 10 sur 10.

Un code malveillant a été intégré dans les versions 5.6.0 et 5.6.1 de XZ Utils. L'exploitation réussie de la vulnérabilité pourrait permettre à un attaquant non autorisé de contourner l'authentification sshd et d'obtenir un accès à distance à l'ensemble du système.

Les utilisateurs des distributions Linux sont invités à vérifier si leurs systèmes utilisent les versions XZ concernées en entrant « xz –version » dans la ligne de commande. Si leur système utilise une version affectée, les utilisateurs sont invités à passer à la version 5.4.x de XZ ou à désactiver immédiatement les services SSH, et à vérifier que leur système ne présente pas d'activité malveillante ou suspecte.