News Sicherheitslücke in xz: Backdoor in Linux-Archivbibliothek macht Systeme angreifbar

Kaito Kariheddo · 30. März 2024

Durch jahrelange Vorarbeit ist es Angreifern gelungen, den Quellcode der Kompressionssoftware xz zu kompromittieren. Gezielt eingereichte Patches schufen Sicherheitslücken und diese wurden proaktiv in aktuelle Linux-Distributionen eingepflegt. Zum Update auf ein bereinigtes Paket wird dringend geraten.

Zur News: Sicherheitslücke in xz: Backdoor in Linux-Archivbibliothek macht Systeme angreifbar

Multivac · 30. März 2024

Tja, jemand wird sich schon die Commits angucken, und Open Source ist sicher, ist damit wohl widerlegt. Frage mich nur, wie viele Schläfer in Closed-Source-Produkten Backdoors platzieren.

Jonathan Blow on backdoors and cybersecurity

HaZu · 30. März 2024

Genau so ist die Backdoor entdeckt worden, weil jemand den öffentlich verfügbaren Source Code analysiert hat nachdem aufgefallen war, dass die neue Version der Software sehr langsam war. Und zwar weitgehend bevor sie von den stables der großen Distros verteilt wurde.

Ohne Open Source hätte dies so nicht bemerkt werden können.

pseudopseudonym · 30. März 2024

Frohe Ostern oder so?! Schon beunruhigend.

Multivac schrieb:
Tja, jemand wird sich schon die Commits angucken, und Open Source ist sicher, ist damit wohl widerlegt

Nö, ist es nicht. Open Source dürfte dazu beigetragen haben, dass das jetzt rausgekommen ist, ohne dass bisher allzu viel passiert zu sein scheint. Man weiß sogar, wie der Ablauf grob war.

fullnewb · 30. März 2024

Ihr habt beide Recht. OpenSource ist erstmal kein Garant für Sicherheit, aber die Tatsache, dass es OpenSource ist hat das Finden der Lücke überhaupt erst ermöglicht.

Multivac · 30. März 2024

pseudopseudonym schrieb:
Frohe Ostern oder so?! Schon beunruhigend.

Nö, ist es nicht. Open Source dürfte dazu beigetragen haben, dass das jetzt raushekommen ist, ohne dass bisher allzu viel passiert zu sein scheint. Man weiß sogar, wie der Ablauf grob war.

eben, nicht die kompromiterten library ist ja in den distubutionen gelandet.

pseudopseudonym · 30. März 2024

@Multivac Damit durchgeführte Angriffe sind bisher nicht bekannt. Bei Closed Source wäre so eine Aktion vermutlich erst dann rausgekommen.

Photon · 30. März 2024

@Kaito Kariheddo Danke für den Bericht! Ich habe ein bisschen über den Titel zu meckern: Wenn in WinZip ein Backdoor entdeckt worden wäre, wäre der Titel dann "Windows Backdoor: Kritische Sicherheitslücke macht Systeme angreifbar"? Änderungsvorschlag: "Backdoor in Archivbibliothek xz für Linux: Kritische Sicherheitslücke macht manche Systeme angreifbar".

0x8100 · 30. März 2024

@Kaito Kariheddo schöne zusammenfassung, aber

das abfangen
das anlegen
ersten versuchen

wird alles gross geschrieben

CodeCrusader · 30. März 2024

EmilEsel schrieb:
deshalb lieber Windows
lunix viel zu gefährlich

Lol

https://www.zdnet.com/article/googl...patch-security-holes-faster-than-anyone-else/

Schöne Träume wünsche ich dir

bad_sign · 30. März 2024

pseudopseudonym schrieb:
Nö, ist es nicht. Open Source dürfte dazu beigetragen haben, dass das jetzt rausgekommen ist, ohne dass bisher allzu viel passiert zu sein scheint. Man weiß sogar, wie der Ablauf grob war.

Schon "lustig" wie die Tatsachen einfach umgedreht werden.
OSS ist ein wesentlicher Faktor für sichere Software. Hier fällt es auf. Wenn uns in Windows soetwas vor die Füße wirft, tja, dann stehen wir da.

mibbio · 30. März 2024

Multivac schrieb:
eben, nicht die kompromiterten library ist ja in den distubutionen gelandet.

In der eigentlichen Quelle, also dem Github-Repo, war/ist der Schadcode wohl gar nicht enthalten, sondern "nur" in einem manipulierten Tar-Archiv des Quellcodes. Als Commit direkt im Repository wäre das vermutlich noch schneller aufgefallen und vor allem zurückverfolgbar gewesen.

Eingefangen haben sich den Schadcode also im Grunde nur Distributionen, die zum Kompilieren und Paketieren die bereitgestellten Tarballs des Quellcodes nutzen statt den Quellcode aus dem Github-Repo zu ziehen.

Und bei vielen Distributionen landen Paketupdates ohnehin erstmal im Testing-Zweig, den man auf produktiv genutzen Systemen oder Server ohnehin nicht verwendet.

Kaito Kariheddo · 30. März 2024

0x8100 schrieb:
wird alles gross geschrieben

xD.. Jo danke ^^ Ich hab die leidige Angewohnheit alles klein zu schreiben wenn ich nebenbei recherchiere, erst beim Korrekturlesen besser ich aus. Ist behoben !

Caramon2 · 30. März 2024

pseudopseudonym schrieb:
@Multivac Damit durchgeführte Angriffe sind bisher nicht bekannt. Bei Closed Source wäre so eine Aktion vermutlich erst dann rausgekommen.

siehe Solarwinds

0x8100 schrieb:
@Kaito Kariheddo schöne zusammenfassung, aber

wird alles gross geschrieben

Seit wann schreibt man Tu-Wörter groß?

…

Ich nutze übrigens Artix (Arch-Derivat ohne systemd). Da hieß es gestern:

Preliminary analysis from the aforementioned post shows that the backdoor is designed to exploit openssh when linked against libsystemd (which depends on lzma) to compromise the SSH services. Artix and Arch don't link openssh to liblzma and thus this attack vector is not possible.

Based on the same analysis, the execution of openssh under systemd is a prerequisite for the backdoor to activate and given the additional distance of Artix to systemd (aren't we glad?), the exploit shouldn't affect any running Artix system.

Kaito Kariheddo · 30. März 2024

Photon schrieb:
wäre der Titel dann "Windows Backdoor: Kritische Sicherheitslücke macht Systeme angreifbar"?

Naja Windows ist DAS Backdoor

Wollte da nichts schlechter darstellen, nur auf den Punkt bringen. Leider sind Überschriften zeichenbegrenzt und ich kann nicht immer so ausführlich schreiben wie ich möchte.

Schneeball · 30. März 2024

Multivac schrieb:
Open Source ist sicher, ist damit wohl widerlegt. Frage mich nur, wie viele Schläfer in Closed-Source-Produkten Backdoors platzieren.

Das ist der Punkt.
In Open Source kann man nachsehen bzw. ein Audit durchführen (lassen) und handeln.
Bei Closed Source bleibt nur das Vertrauen.

Beides hat Vor- und Nachteile.
Wenn ich nachsehen kann, kann ich Lücken finden und diese schließen oder ausnutzen.
Wenn ich nicht nachsehen kann, können es die meisten anderen auch nicht. Aber sollte ich mich von den Meisten oder eher von den Wenigen in Acht nehmen?

_anonymous0815_ · 30. März 2024

https://tukaani.org/xz-backdoor/

Hier meldet sich der ursprüngliche Autor zu Wort, er ist aktuell ebenfalls bei GitHub gesperrt!

Absoluter Skandal, hoffentlich untergräbt so ein Vorfall nicht Open Source.

Auf jeden Fall wurde hier in staatlichem Interesse gehandelt, denn wer sich über zwei Jahre den Entwicklern anbiedert, der macht das mit System und vermutlich einem Decknamen.

Würde mich nicht wundern, wenn China dahintersteckt.

0x8100 · 30. März 2024

Caramon2 schrieb:
Seit wann schreibt man Tu-Wörter groß?

tu-wörter? die dinger heissen verben

ansonsten -> https://de.wikipedia.org/wiki/Substantivierung

fommuz · 30. März 2024

Zusatzinfo / "Funfact":

beim XZ Embedded Linux Kernel-Modul für IoT-Geräte wurde vor 10 Tagen eine Änderung eingereicht, um Jia Tan (JiaT75; also der Backdoor-Autor) als Maintainer hinzuzufügen.

https://lore.kernel.org/lkml/20240320183846.19475-2-lasse.collin@tukaani.org/

Heilige Scheiße!

Stellt euch nur mal vor, wenn das noch mindestens 1 Jahr nicht aufgefallen wäre.

Photon · 30. März 2024

Kaito Kariheddo schrieb:
Naja Windows ist DAS Backdoor Wollte da nichts schlechter darstellen, nur auf den Punkt bringen. Leider sind Überschriften zeichenbegrenzt und ich kann nicht immer so ausführlich schreiben wie ich möchte.

Verstehe.

Dann folgender Vorschlag: "Backdoor in xz: Lücke in Linux-Archivbibliothek macht Systeme angreifbar"

News Sicherheitslücke in xz: Backdoor in Linux-Archivbibliothek macht Systeme angreifbar

Redakteur

Lt. Junior Grade

Commander

Admiral

Lieutenant

Lt. Junior Grade

Admiral

Commodore

Admiral

Ensign

Commodore

Rear Admiral

Redakteur

Lieutenant

Redakteur

Schneeball

Gast

Lt. Commander

Admiral

Cadet 4th Year

Commodore

Passend zum Thema