XZ Utils: když byl internet jen krok od velkého bezpečnostního průšvihu

NÁVODY > KATEGORIE > Co se jinam nevešlo

01.04.2026

Na jaře 2024 se ukázalo, že i nenápadná linuxová knihovna může být součástí mimořádně nebezpečného útoku. V případě XZ Utils nešlo o běžnou chybu, ale o promyšlená zadní vrátka ukryté v oficiálních vydáních. Celá aféra zároveň připomněla, jak důležitá je důvěra v open source, pečlivá správa závislostí i rychlá reakce komunity.

Ilustrační obrázek k aféře XZ Utils: narušený internet, varování před backdoorem v SSH a zvýrazněné označení CVE-2024-3094.

XZ Utils je známý nástroj pro bezztrátovou kompresi dat a jeho knihovna liblzma se používá v mnoha linuxových systémech. Právě proto vyvolalo takový rozruch, když bylo odhaleno, že vydání 5.6.0 a 5.6.1 obsahovala škodlivý kód označený jako CVE-2024-3094. Nešlo o chybu vzniklou omylem, ale o cílený supply-chain útok, tedy pokus dostat zadní vrátka přímo do softwaru, který pak přebírají další distribuce a balíčky. NVD tomuto incidentu přidělilo nejvyšší možné hodnocení závažnosti CVSS 10.0.

Nebezpečnost útoku spočívala i v tom, jak byl připraven. Škodlivé změny nebyly nápadně vidět v běžném gitovém repozitáři, ale byly ukryty v upstream tarballech a při sestavení knihovny se aktivovaly přes obfuskovaný build proces. Výsledkem byla upravená liblzma, která za určitých podmínek mohla zasahovat do autentizace sshd a otevřít útočníkovi cestu k neoprávněnému vzdálenému přístupu do systému.

Celý případ je pozoruhodný i tím, jak byl odhalen. Neodhalil ho velký audit ani automatický bezpečnostní systém, ale vývojář Andres Freund, který si všiml neobvyklého zpomalení SSH přihlášení a chyb hlášených nástrojem Valgrind. Své zjištění zveřejnil 29. března 2024 na mailing listu oss-security a právě tím spustil rychlou reakci bezpečnostní komunity. Jinými slovy: jeden všímavý člověk si všiml „drobnosti“, která mohla mít obrovské následky.

Zároveň je důležité držet se faktů a zbytečně nesklouzávat k přehánění. Incident byl mimořádně vážný, ale v době odhalení se kompromitované verze naštěstí nestihly rozšířit do většiny stabilních produkčních systémů. Debian výslovně uvedl, že stabilní vydání známa jako zasažená nebyla; problém se týkal hlavně větví testing, unstable a experimental. Fedora upozorňovala především uživatele Rawhide a předběžných verzí Fedora 40 a doporučila návrat na bezpečnější verzi 5.4.x.

Právě v tom je tato aféra pro Linux mimořádně poučná. Ukázala, že i velmi důležitá infrastruktura může stát na malých projektech, které dlouhodobě udržuje úzký okruh lidí. OpenSSF po incidentu varovala, že podobné pokusy o sociální inženýrství a převzetí důvěry v open source projektech nemusí být ojedinělé. Problém tedy nespočívá jen v samotném kódu, ale i v organizaci projektu, důvěře mezi lidmi a dlouhodobé udržitelnosti správy kritických součástí ekosystému.

Pro běžného uživatele Linuxu je z toho dobré vyvodit střízlivý závěr. Linux kvůli aféře XZ „neselhal“. Naopak se ukázalo, že otevřený vývoj, rychlá veřejná reakce a spolupráce mezi distributory a vývojáři fungují. Současně je ale vidět, že bezpečnost není samozřejmost a že i malá knihovna může mít v praxi obrovský význam. Aféra XZ tak není důvodem k panice, ale velmi dobrým důvodem k větší pozornosti.

Závěrečné shrnutí

Incident kolem XZ Utils byl jedním z nejvážnějších varování posledních let. Ne proto, že by „spadl internet“, ale proto, že se ukázalo, jak blízko se útočník dostal k velmi citlivé části linuxového ekosystému. A také proto, že o odhalení rozhodla všímavost jednotlivce, nikoli jistota, že se na všechno vždy přijde včas. Právě proto si tento případ zaslouží pozornost i na webu Linux pro domácnost.

Zdroje

Internet byl jen krůček od katastrofy a nikdo o tom neměl ani tušení — hlavní video, z něhož článek vychází.

https://www.youtube.com/watch?v=31kd5CNf3wM

Deep Dive into XZ Utils Backdoor - Columbia Engineering, Advanced Systems Programming Guest Lecture — doplňkové anglické video k tématu.

https://www.youtube.com/watch?v=Q6ovtLdSbEA

Andres Freund: backdoor in upstream xz/liblzma leading to ssh server compromise.

https://www.openwall.com/lists/oss-security/2024/03/29/4

Debian Security Tracker: CVE-2024-3094.

https://security-tracker.debian.org/tracker/CVE-2024-3094

NVD: CVE-2024-3094.

https://nvd.nist.gov/vuln/detail/cve-2024-3094

Red Hat: reakce na incident a dopad na Fedora/Rawhide.

https://www.redhat.com/en/blog/understanding-red-hats-response-xz-security-incident

CISA: upozornění na supply-chain kompromitaci XZ Utils.

https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

Internet byl jen krůček od katastrofy a nikdo o tom neměl ani tušení

PODPOŘTE OTEVŘENÉ NÁVODY A DALŠÍ ROZVOJ WEBU LINUX PRO DOMÁCNOST:

Věřím v otevřené znalosti. Každý návod = rešerše, testování na reálném nebo virtuálním počítači a různých Linux distribucích (např.: Rocky / Debian / Zorin / a další), psaní krok za krokem a finální kontrola — typicky několik hodin až několik dnů práce. Web držím bez reklam i trackingu a chci, aby tak zůstal.

Pokud vám jakýkoli článek ušetří čas nebo nervy, budu rád za dobrovolnou podporu (částku si určíte sami). Prosím, do zprávy pro příjemce napište: NA KAFE / Linux-doma.cz, pomůže mi to přehledně zaúčtovat měsíční souhrn. Děkuji!

A pokud se Vám web líbí a chcete se stát pravidelným sponzorem, podívejte se prosím na stránku "SPONZOŘI".

BANKOVNÍ PŘEVOD /

QR PLATBA (bez částky)

Číslo účtu (CZK): 2000197842 / 2010
IBAN: CZ41 2010 0000 0020 0019 7842
BIC/SWIFT: FIOBCZPPXXX
Zpráva pro příjemce: NA KAFE / Linux-doma.cz

BITLIFI / QR PLATBA (bez částky)

QR platba (bez částky) – Bitlifi – Linux-doma.cz

Uživatel: +420607271333@bitlifi.com
Poznámka: NA KAFE / Linux-doma.cz