VDB
CVE-2024-3094
CVE-2024-3094
PUBLISHED
CVSS 10 CRITICAL
29. März 2024 Update #1: 02. April 2024 (Umbau Warnung auf aktuelle Erkenntnisse) In den Versionen 5.6.0 und 5.6.1 der weit verbreiteten Bibliothek xz-utils wurde eine Hintertür entdeckt. xz-utils wird häufig zur Komprimierung von Softwarepaketen, Kernel-Images und initramfs-Images verwendet. Die Lücke ermöglicht es nicht authentifizierten Angreifer:innen, die sshd-Authentifizierung auf verwundbaren Systemen zu umgehen und unauthorisierten Zugriff auf das gesamte System zu erlangen. Aktuell liegen uns keine Informationen über eine aktive Ausnutzung vor. CVE-Nummer(n): CVE-2024-3094 CVSS Base Score: 10.0
EPSS 85.63% · 99.4th percentile
Risk Scores
CVSS v3.1
10
EPSS Score
85.63%
99.4th percentile
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| Linux-Distributionen | Linux-Distributionen und macOS mit glibc und xz-utils 5.6.0 oder 5.6.1, insbesondere: - Archlinux: xz-Pakete vor Version 5.6.1-2 (speziell 5.6.0-1 und 5.6.1-1) - Debian Testing, Unstable und Experimental: Versionen 5.5.1alpha-0.1 bis 5.6.1-1 - Fedora Rawhide (Entwicklungsversion) - Fedora 41 und eventuell Fedora 40 (je nach Zeitpunkt des Updates) - Kali Linux: Betroffen zwischen dem 26. und 29. März 2024 - openSUSE Tumbleweed und openSUSE MicroOS: Verwundbare Versionen zwischen dem 7. und 28. März 2024 enthalten |
Timeline
- Mar 15, 2018 PoC Published
- Mar 29, 2024 CVE Published
- Mar 29, 2024 PoC Published
- Mar 30, 2024 EPSS Score
- Mar 30, 2024 PoC Published
- May 8, 2024 EPSS Score
- Jul 6, 2024 EPSS Score
- Oct 4, 2024 Coalition ESS Score
- Dec 9, 2024 EPSS Score
- Dec 17, 2024 EPSS Score
- Feb 7, 2025 EPSS Score
- Feb 13, 2025 PoC Published