ComputerBase Menü
Aktuelles

News Sicherheitslücke in xz: Backdoor in Linux-Archivbibliothek macht Systeme angreifbar

Termy schrieb:
VPN, Reverse Proxy u.ä. sind kein Begriff?

Auch wenn das VPN auf dem gleichen Server läuft bist du immer noch in einer bessere Situation als mit zig offen erreichbaren Diensten. Da brauchst du auch keinen extra Server für mieten :rolleyes:
Zum Vergrößern anklicken....
Aber eine VPN Verbindung ist auch nicht sicherer als SSH (mit pub/private key Auth), für den VPN braucht es auch einen offenen Port beim Server.
Ergänzung ()

Dalek schrieb:
Lücken in SSH sind sehr selten, das ist nicht die Angriffsfläche über die ich mir die meisten Gedanken machen würde.
Zum Vergrößern anklicken....
Wie meinst du das?
Es war bzw. ist ja keine Lücke in SSH.
Sondern xz und weil beides mit SystemD gelinkt ist.

Ohne die SystemD Verlinkung geht es ja nicht, daher ist auch Arch nicht betroffen oder FreeBSD oder Homebrew.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: konkretor und mibbio
Rassnahr schrieb:
Aber eine VPN Verbindung ist auch nicht sicherer als SSH (mit pub/private key Auth), für den VPN braucht es auch einen offenen Port beim Server.
Zum Vergrößern anklicken....
Das nicht - aber der VPN-Server läuft in der Regel mit deutlich weniger Rechten als eine SSH-Sitzung. Es müssten also zwei Sicherheitslücken/Backdoors kombiniert werden, um RCE o.ä. durchführen zu können.
 
  • Gefällt mir
Reaktionen: Rassnahr
Passend zum Thema ^^
itmemeGJ8hWO0XYAABykH.jpg
 
  • Gefällt mir
Reaktionen: cruse, Ironbutt, sh. und 9 andere
TheChris80 schrieb:
Das Rootkonto nutzt man nur wenn man sehr viele Befehle hintereinander eingeben muss die Root benötigen.
Ist man fertig dann schnell "exit". Ansonsten reicht sudo vollkommen aus.
Wer aktiv mit dem Rootkonto arbeitet der wird schnell Lehrgeld zahlen.
Zum Vergrößern anklicken....
Was man ja aber durchgehend macht, wenn man wirklich administriert und nicht nur nebenbei paar Sachen ändert.

Ich logge mich morgens ein einmal als root und einmal als normaler User und dann werden den ganzen Tag auf beiden Konten Dinge gemacht.

nfs mounts miz rootsquash machen es nötig.

lorpel schrieb:
Bei Open source kann man. Zwar theoretisch die Fehler finden, aber ich kenne keinen einzigen Programmierer der danach aktiv sucht. Ich übrigens auch nicht. Jeder hofft, dass die anderen das schon machen werden. ist eben eine total langweilige Aufgabe, fremden Code auf Fehler zu überprüfen.

Wenn was gefunden wird, dann eher zufällig, weil jemand über den Code stolpert. 🪤
Zum Vergrößern anklicken....
Naja, also wenn ich über irgendwas stolpere dann suche ich erstmal den Code nach weiteren Fehlern entsprechend diesem Schema ab. Jetzt nicht Zeile für Zeile, aber nen kurzer regex oder sonstige systematische Suchen sind da schon der Standard. Die Erfahrung sagt einfach das Fehler oft systematisch sind. Da kann man mit sehr wenig Aufwand oft 80-90% ähnlicher bzw des gleichen Fehlers auch an anderen Stellen finden. Das ist eigentlich immer gut investierte Zeit.
 
  • Gefällt mir
Reaktionen: netzgestaltung
lorpel schrieb:
aber ich kenne keinen einzigen Programmierer der danach aktiv sucht. Ich übrigens auch nicht.
Zum Vergrößern anklicken....
Und deswegen ist es für dich völlig unvorstellbar, dass sowas außerhalb deiner Wahrnehmungsbubble durchgeführt wird?
 
  • Gefällt mir
Reaktionen: lynx007, EdwinOdesseiron und netzgestaltung
AfFelix schrieb:
Das nicht - aber der VPN-Server läuft in der Regel mit deutlich weniger Rechten als eine SSH-Sitzung.
Zum Vergrößern anklicken....
Das musst du mir mal erklären bitte.
Ein SSH Server läuft prinzipiell mit den gleichen Rechten wie ein SSH Server.
Effektiv unterscheiden sich beide nicht, außer dass ein VPN Server mehr Code hat, und damit potenziell mehr Platz für Sicherheitslücken.
Aber wenn man den Fakt mal ignoriert, sind beide gleich kritisch. Da gibt es keinen Unterschied.

Anders verhält es sich nur, wenn man den VPN Server in einen Docker-Container wirft und die Containerumgebung vernünftig konfiguriert/absichert. Das kann man aber auch mit einem SSH Server tun, wenn man es möchte.
Da gibt es einfach effektiv keinen Unterschied. Kann man machen, ich würde niemandem davon abraten, aber mMn einfach unnötiger Aufwand, da es faktisch nichts ändert.
 
Snowi schrieb:
Pauschal bist du sicher, solange du nur Stabile Repos von Debian, Ubuntu oder Fedora nutzt, betroffen sind aber u.a. OpenSuse Tumbleweed (Der Rolling Release), Arch und Kali.
Bei Debian/Ubuntu/Fedora waren betroffenen Versionen, soweit bekannt, nur in Unstable/Testing Repos.

Aber ja, die Backdoor benötigt von außen Zugriff via SSH, wenn du den Zugang aufs Heimnetz einschränkst, zB über eine Firewall, dann ist das nach aktuellem Kenntnisstand nicht kritisch. Es gab noch weitere Bedingungen, die findet man zB im aktuellen Heise Beitrag dazu.
Zum Vergrößern anklicken....
Ich nutze EndeavourOS welches ein Arch derivat ist. Da hab ich jetzt schon etwas bammel.

Der SSH-server selbst aktzeptiert nur anfragen vom Heimnetzwerk.(Die SSH Config) Ohne meinen Router geht gar nichts. Stell ich WIFI auf dem Handy aus dann komm ich nicht rein.

Haupsächlich nutze ich aber SSH nur zum steuern vom System wenn ich auf meiner couch sitze.
Zb für Streams oder Musik.
 
TheChris80 schrieb:
Ich nutze EndeavourOS welches ein Arch derivat ist. Da hab ich jetzt schon etwas bammel.
Zum Vergrößern anklicken....
Zumindest bei Arch selber ist OpenSSH von der bisher bekannten Backdoor nicht betroffen, da Arch dort nicht die Kopplung mit SystemD verwendet und folglich auch nicht die liblzma reinlinkt. Weiß jetzt aber nicht, ob Endeavour die Pakete direkt aus dem Arch-Repo bezieht oder bspw. OpenSSH in angepasster Form aus einem eigenen Repo.

https://security.archlinux.org/ASA-202403-1

https://archlinux.org/news/the-xz-package-has-been-backdoored/
 
  • Gefällt mir
Reaktionen: TheChris80 und Rassnahr
sedot schrieb:
Im Forum gibt es einen Thread;
https://forum.endeavouros.com/t/the...nd-the-xz-tarballs-have-been-backdoored/53253

Falls es Updates gibt, zeitnah installieren.
Zum Vergrößern anklicken....
Und dort wird auch auf die Arch Linux news verlinkt welche folgende ist:

[...]
Arch does not directly link openssh to liblzma, and thus this attack vector is not possible. You can confirm this by issuing the following command:

ldd "$(command -v sshd)"

However, out of an abundance of caution, we advise users to remove the malicious code from their system by upgrading either way. This is because other yet-to-be discovered methods to exploit the backdoor could exist.
Zum Vergrößern anklicken....

Also ja stimmt zeitnah ein Update machen aber nach bisherigen Infos ist Arch nicht betroffen.
 
  • Gefällt mir
Reaktionen: TheChris80
@lorpel
Bei Open source kann man. Zwar theoretisch die Fehler finden, aber ich kenne keinen einzigen Programmierer der danach aktiv sucht. Ich übrigens auch nicht. Jeder hofft, dass die anderen das schon machen werden. ist eben eine total langweilige Aufgabe, fremden Code auf Fehler zu überprüfen.
Zum Vergrößern anklicken....

Ich kenne einen der verdient sogar Geld damit, fehler aus dem Code zu bügeln. Was er mir so schildert, wäre es aber wohl auch kein Beruf für mich. Man muss praktisch alles Dokumentieren und jeden Fall der Fälle ausprobieren. Am ende, nach vielen Reports gibt er dann als teil es "Connsalting" seine Empfehlung ab, und muss schlucken wen er trotz empfehlung das Update zurück zu stellen, übergangen zu werden. Stelle ich mir unter umständen auch wenig satisfying vor.
.
Aber dafür hat er mit ende 40 seine eigene abbezahlte Eigentumswohnung. Hat also auch Vorteile, einen Job machen zu können, den nur wenige machen "können". Dafür hat er keinen Serverraum der "brennt" und ihm abwechslung bereitet. Manchmal habe ich den eindruck das selbst Ihn die arbeit nicht genügend aufregung bietet.

.
Aber ich finde einen Teilbereich der Fehlersuche, das "Bughunting" aber auch irgendwie spannend. Zumindest wen ich ausblende wieviel knowhow und systematische Arbeit dahintersteckt. Denn dann versteht man auch schnell warum keine Lust darauf hat. ^^

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Fedorauser
Schneeball schrieb:
Bei Closed Source bleibt nur das Vertrauen.
Zum Vergrößern anklicken....
LOL! Ja!
Ich habe vollstes vertrauen in MS, dass die Regelmäßig fuckups liefern, die dann mit Pech schon ausgenutzt werden und man sich sputen muss, damit wenigstens die Endpoints nicht aufgemacht werden!
Ergänzung ()

fommuz schrieb:
Stellt euch nur mal vor, wenn das noch mindestens 1 Jahr nicht aufgefallen wäre.
Zum Vergrößern anklicken....
Log4j here we come …!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: fommuz und EdwinOdesseiron
Naja, zumindest gibt's bei MS offenbar ein paar fähige Leute, denn der Finder der XZ Backdoor, Andres Freund, ist ja bei Microsoft. Immerhin.
 
  • Gefällt mir
Reaktionen: aragorn92
Moin, langsam nervt die Diskussion hier, um dass eigentliche Thema geht’s hier überhaupt nicht mehr, nervtötend.
 
  • Gefällt mir
Reaktionen: konkretor, cruse, Lotsenbruder und eine weitere Person
Das geht jetzt leider an der Sudo/Root Diskussion vorbei...

Russ Cox hat hier eine sehr detailierte Analyse geschrieben, wie genau sich die Backdoor "versteckt" und einrichtet:

https://research.swtch.com/xz-script

Mehr als nur trippy ;-)
 
  • Gefällt mir
Reaktionen: Lotsenbruder und EdwinOdesseiron
Da es sich bei so einer Backdoor um den feuchten Traum jedes Geheimdienstes handelt, frage ich mich, ob man jemals gesichert erfahren wird, wer dahinter steckt. Weil ein Interesse daran teilen ja quasi alle Tunichtgute auf dem Gebiet.
 
  • Gefällt mir
Reaktionen: EdwinOdesseiron
Ich tippe auf jemanden mit viel Zeit und Geld.

Interessanter finde ich allerdings nicht wer es war, sondern wie sich die OSS Community in Zukunft davor schuetzen wird. Die Buildprozesse usw. werden in Zukunft staerker beleuchtet und verbessert, bzw. abgedichtet.

1. Never allow files in release tar-balls which are not present in the repo.
2. As a consequence, all generated code should be checked in. Build scripts should re-generate all derived code and fail if the checked in code deviates from the generated.
3. No inscrutable data should be accessible by the release build process. This means that tests relying on binary data should be built completely separately from the release binaries.
Zum Vergrößern anklicken....

Quelle
 
  • Gefällt mir
Reaktionen: Lotsenbruder, Skysnake und EdwinOdesseiron
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz