CVE†
- https://nvd.nist.gov/vuln/detail/CVE-2024-3094
Malicious code was discovered in the upstream tarballs of xz, starting with version 5.6.0. Through a series of complex obfuscations, the liblzma build process extracts a prebuilt object file from a disguised test file existing in the source code, which is then used to modify specific functions in the liblzma code. This results in a modified liblzma library that can be used by any software linked against this library, intercepting and modifying the data interaction with this library.
バージョン 5.6.0 以降の xz の上流の tarball で悪意のあるコードが発見されました。 liblzma ビルド プロセスは、一連の複雑な難読化を通じて、ソース コード内に存在する偽装テスト ファイルからビルド済みオブジェクト ファイルを抽出します。このファイルは、liblzma コード内の特定の関数を変更するために使用されます。これにより、変更された liblzma ライブラリが作成され、このライブラリにリンクされた任意のソフトウェアで使用できるようになり、このライブラリとのデータ対話が傍受および変更されます。 (Google翻訳)
- 詳細 > XZ/Backdoor
悪意をもって仕込まれた脆弱性を CVE で扱う事への疑念†
- https://twitter.com/pyotam2/status/1774468903785120162
The #xz/#liblzma backdoor is the ONLY package out of 245,032 malicious packages identified in 2023 (see report below) that was assigned a CVE (CVE-2024-3094, with the corresponding CWE-506 - Embedded Malicious Code).
But should a malicious package be assigned a CVE?
- https://twitter.com/AmitaiCo/status/1774670067013226860
This question should make the distinction between malicious packages vs. packages with specific versions that are malicious.
CVEs make sense for the 2nd case because vuln scanners can detect those versions effectively, as you've said. CVEs are not a good fit for the 1st case.