Backdoor in xz Package

[dh9]

Gestern ist eine Backdoor im xz Package entdeckt worden (CVE-2024-3094). Das betrifft alle Linux Distributionen, die das Package in der betroffenen Version nutzen, inkl. MacOS Homebrew usw. usf.

Da ich davon leider weder auf Golem, Heise usw. bisher was lesen konnte, dachte ich, poste ich es wenigstens hier mal, damit man sich selbst schuetzen kann.

Quellen:

https://www.openwall.com/lists/oss-security/2024/03/29/4
https://news.ycombinator.com/item?id=39865810

Zusammenfassung:

https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Zitat:

We're reasonably sure the following things need to be true for your system to be vulnerable:

• You need to be running a distro that uses glibc (for IFUNC)
• You need to have versions 5.6.0 or 5.6.1 of xz or liblzma installed(xz-utils provides the library liblzma) - likely only true ifrunning a rolling-release distro and updating religiously.

TLDR:

• Using a .deb or .rpm based distro with glibc and xz-5.6.0 or xz-5.6.1:
  • Using systemd on publicly accessible ssh: update RIGHT NOW NOW NOW
  • Otherwise: update RIGHT NOW NOW but prioritize the former
• Using another type of distribution:
  • With glibc and xz-5.6.0 or xz-5.6.1: update RIGHT NOW, but prioritize the above.

 

[plain.text]

Manjaro hat schon gepatcht.

https://forum.manjaro.org/t/xz-package-contains-a-vulnerability/159028

 

[Sykehouse]

Auf Ars Technica gibts einen ausführlichen Bericht. Ziemlich üble Sache.

 

[Zer0DEV]

Da sieht man eben das auch Open Source nicht davor gefeit ist, dass da Code versucht wird zum "Bösen" zu modifizieren. Wenn man es an einer Stelle bemerkt, mag es an anderer Stelle durchgerutscht sein...

Mein Debian hat von xz-utils noch v5.4.1 am laufen und sshd läuft da eh nicht "public"...

 

[EdwinOdesseiron]

@Zer0DEV
Stimmt natürlich, andererseits hier natürlich der Beweis warum OpenSource so gut ist -> ist aufgefallen und wird gefixt. Bei ClosedSource willst du gar nicht wissen, was da für Schmu gemacht wird.

@Topic
Hab auch davon gelesen und warte auf einen fix für Arch und OpenSuse TW ~.~

 

[dh9]

Heise hat jetzt auch einen Artikel:

https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html

 

[EdwinOdesseiron]

Ah man sollte auch den Paketnamen ganz lesen.

OpenSuse TW:
5.6.1.revertto5.4-3.2

Arch:
xz 5.6.1-2 (wird mit xz --version als nur 5.6.1 angezeigt).

Zumindest die größten RR-Distros scheinen schnell reagiert zu haben.

 

[sedot]

Hab auch davon gelesen und warte auf einen fix für Arch und OpenSuse TW ~.~

Wurde gestern Abend schon gefixt, mach mal ein zypper dup

Fedora hat auch schon einen entsprechend Patch, afaik

Links;
https://news.opensuse.org/2024/03/29/xz-backdoor/
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

 

[D.S.i.u.S.]

5.6.1-2 is the fixed version?
Vielleicht sollte man es am Anfang schreiben.

 

[plain.text]

5.6.1-2 is the fixed version?

Ja.

https://archlinux.org/news/the-xz-package-has-been-backdoored/

 

[sedot]

5.6.1-2 is the fixed version?

openSUSE ist auf eine ältere Version, vermutlich in der Hoffnung, dass diese nicht betroffen ist – scheint sich gerade schnell zu entwickeln das Thema.

 

[plain.text]

openSUSE ist auf eine ältere Version, vermutlich in der Hoffnung, dass diese nicht betroffen ist – scheint sich gerade schnell zu entwickeln das Thema.

Wobei sie ja wohl nicht sicher sind, ob nicht auch ältere Versionen verwanzt sind:

“We even worked with him to fix the valgrind issue (which it turns out now was caused by the backdoor he had added),” the Ubuntu maintainer said. "He has been part of the xz project for two years, adding all sorts of binary test files, and with this level of sophistication, we would be suspicious of even older versions of xz until proven otherwise." -arstechnica

 

[sedot]

Wobei sie ja wohl nicht sicher sind, ob nicht auch ältere Versionen verwanzt sind:

Ja.

Der letzte Absatz aus dem openSUSE Blog;

User recommendation

For our openSUSE Tumbleweed users where SSH is exposed to the internet we recommend installing fresh, as it’s unknown if the backdoor has been exploited. Due to the sophisticated nature of the backdoor an on-system detection of a breach is likely not possible. Also rotation of any credentials that could have been fetched from the system is highly recommended. Otherwise, simply update to openSUSE Tumbleweed 20240328 or later and reboot the system.

 

[Tornhoof]

Wobei sie ja wohl nicht sicher sind, ob nicht auch ältere Versionen verwanzt sind:

Die betroffenen distros haben auf eine Version down graded, da wo möglich, die vor dem ersten commit des github users ist, die wird nur als höhere Version verkauft, damit packages updaten können. Einige distros gehen einen Mittelweg und nehmen eine Version die "sauber" aussieht.

Daher 5.6.1.revertto5.4-3.2

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024

Beschreibt die Problematik ganz gut

 

[nullPtr]

Was für eine unglaublich gute Idee von den Distros, systemd als Dependency in sshd reinzupatchen...
scnr

 

[EdwinOdesseiron]

Unentspanntes aber doch spannendes Thema. Der Urheber des Backdoors scheint auch noch an anderen Paketen gearbeitet zu haben, schauen wir mal.

 

[konkretor]

https://boehs.org/node/everything-i-know-about-the-xz-backdoor

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

 

[EdwinOdesseiron]

Auch wieder spannend wie weltweite/industrieweite Packages von Einzelpersonen betreut werden, erinnert mich ein wenig an log4j (Java). Und ist mit Sicherheit nur eines von ganz vielen Paketen..

 

[Helge01]

wieder spannend wie weltweite/industrieweite Packages von Einzelpersonen betreut werden

Das macht einem Angst, kenne einige sicherheitsrelevante Projekte die nur von einer Person betreut werden. Teilweise sind die schon lange im Rentenalter...

 

[crashbandicot]

@Helge01
Der passende XKCD dazu:

Quelle: https://xkcd.com/2347 / https://www.explainxkcd.com/wiki/index.php/2347:_Dependency