News Sicherheitslücke in xz: Backdoor in Linux-Archivbibliothek macht Systeme angreifbar

[mibbio]

Github hat aktuell das Repository vom Netz genommen.

Ja, das ist irgendwie eine selten dämliche Kurzschlussreaktion seitens Microsoft, die ja Betreiber von Github sind.

Der Gedanke dahinter war vermutlich, weiteren Schaden zu vermeiden, indem sich keiner mehr (versehentlich) den kompromittierten Code ziehen kann.

 

[Tanzmusikus]

Naja, wenn der Code auf Anfrage erhältlich wäre, dann wäre es ggf. möglich für andere Entwickler zumindest an Teile des Codes für Untersuchungen heranzukommen.

 

[Savage_Sinusoid]

Finde ich jetzt nicht unbedingt dämlich, ein bekanntermaßen kompromittiertes Repository temporär offline zu nehmen, um seine weitere Verbreitung vorerst zu verhindern, bis es anständig auditiert wurde.

Ich gehe auch davon aus, dass sich bei GitHub jemand gerade intensiv mit den Logs beschäftigt, um IP-Adressen, Uhrzeiten und sonstige relevante Informationen zusammenzukratzen. Da kommt am Ende sicherlich ein interessanter Aufschrieb raus!

 

[free-sky]

PyPI und der snap store sind da auch gerade am stampeln, diese ganzen Supply-chain Angriffe auf Open Source nehmen ja seit 2011 überhand.

Gut das da jetzt Leute mehr aufpassen und das relativ schnell rauspatchen konnten, danke! Ich hab da ja selbst kein Durchblick mehr, was von wo überall abhängigkeiten (be)zieht.

 

[BrollyLSSJ]

Ui, das ist mal eine andere Hausnummer. Die Gruppe muss sehr geduldig gewesen sein.

 

[Land_Kind]

Zusammenfassung schreibt man ebenfalls groß und "groß" trotz Rechtschreibreform weiterhin mit ß.

Ausser er ist Schweizer oder Lichtensteiner, dann darf ss statt ß schreiben.

 

[SheepShaver]

Wurde auch schon von Ops kontaktiert. Da wir nur stable Alpine Images verwenden, sind wir nicht betroffem.
Mein Arch basiertes Dev-System ist schon gepatched. Easy Peasy.

 

[Tornhoof]

https://bsky.app/profile/filippo.abyssdomain.expert/post/3kowjkx2njy2b

Mittlerweile kommt ans Licht, was die Konstruktion machen sollte. Anscheinend ein ziemlich fortgeschrittener RCE

 

[Cool Master]

Open Source ist sicher, ist damit wohl widerlegt.

Open Source ist nicht weniger sicher aber auch nicht sicherer als Closed Source. Die geben sich im Prinzip nichts. Fast 50/50 was Sicherheitslücken angeht.

Debian ist wohl wieder glimpflich davon gekommen.

 

[Natriumchlorid]

Der Beitrag ist sehr gut geschrieben, gefällt mir.
Eine schöne Zusammenfassung von den Announcements der grossen Distributionen. Auch die Verlinkung zur Mail von Herrn Freund, welcher auf das Verhalten aufmerksam wurde, find ich super. Klasse Artikel!

Ich finds sehr interessant und inspirierend, wie viel Neugierde der Herr besitzt um bei seinem System das Verhalten zu prüfen, welches sich über bestimmte Paket-Versionen hinweg schleichend geändert hat.
Der Einsatz und die Mühe solcher Persönlichkeiten tragen zu einem sicheren Umfeld in der OpenSource-Umgebung bei.

 

[Egon82]

Also ich hatte heute morgen ein Update bei Manjaro. Von 5.6.0.1 auf 5.6.1-2. Angeblich ist ja Arch "technisch" sowieso nicht betroffen, aber wäre das nicht der Beweis/Hinweis, dass auch größere Distributionen betroffen waren? Nutze nur stable Quellen.

 

[dh9]

Ja, das ist irgendwie eine selten dämliche Kurzschlussreaktion seitens Microsoft, die ja Betreiber von Github sind.

Der Gedanke dahinter war vermutlich, weiteren Schaden zu vermeiden, indem sich keiner mehr (versehentlich) den kompromittierten Code ziehen kann.

Finde ich jetzt nicht unbedingt dämlich, ein bekanntermaßen kompromittiertes Repository temporär offline zu nehmen, um seine weitere Verbreitung vorerst zu verhindern, bis es anständig auditiert wurde.

Ich gehe auch davon aus, dass sich bei GitHub jemand gerade intensiv mit den Logs beschäftigt, um IP-Adressen, Uhrzeiten und sonstige relevante Informationen zusammenzukratzen. Da kommt am Ende sicherlich ein interessanter Aufschrieb raus!

Hier ist ein Klon:

https://git.phial.org/d6/xz-analysis-mirror

zur Analyse. Und ja, es ist daemlich es offline zu nehmen. Das erschwert(e) die Analyse unnoetigerweise.

 

[JustAnotherTux]

@Kaito Kariheddo

Ob das eigene n System

Ansonsten gilt hier wohl wie bei vielen Projekten, es braucht mehr Code-Reviews, am besten mindestens 2 Reviews von 2 anderen trusted Usern.

Bei Closed Source Software sieht es da aber auch nicht besser bzw. eher schlimmer aus, Code-Reviews kosten schließlich Zeit und Geld, erhöhen aber die Qualität.


Was ich bisher noch nicht ganz verstanden habe, ist der konkrete Angrifsvector bzw. wie das nun von den den Angreifern ausgenutzt werden kann.

 

[EdwinOdesseiron]

Bei diesen Meldung fällt mir immer wieder auf warum es doch Sinn macht bei wichtigen System stabile Distros wie SUSE (OpenSuse LEAP) oder Debian zu nutzen. Die hinken immer gut hinterher, sodass es immer genug Zeit gibt, um Fehler/Sicherheitsprobleme in Paketen zu finden.

 

[JustAnotherTux]

Was ich bisher noch nicht ganz verstanden habe, ist der konkrete Angrifsvector bzw. wie das nun von den den Angreifern ausgenutzt werden kann.

Wenn ich das richtig verstanden habe, muss auf dem System erst Malware installiert bzw. ausgeführt werden, welche ebenfalls gegen die manipulierte Lib Version gelinkt wurde. Erst dann kann bei jeder anderen Software welche gegen die manipulierte Lib Version gelinkt wurde mitgelesen werden.

 

[Tornhoof]

Wenn ich das richtig verstanden habe, muss auf dem System erst Malware installiert bzw. ausgeführt werden, welche ebenfalls gegen die manipulierte Lib Version gelinkt wurde.

jein, lies die Analyse oben, die ich gelinkt hatte. Es wurde (bisher) nur openssh angegriffen

 

[Dalek]

Was ich bisher noch nicht ganz verstanden habe, ist der konkrete Angrifsvector bzw. wie das nun von den den Angreifern ausgenutzt werden kann.

Wenn der SSHD so wie in Debian mit Systemd gelinkt ist, dann wird der Schadcode in der library ausgeführt. Der scheint Anfragen über SSH gegen einen öffentlichen Schlüssel zu checken, wenn der stimmt dann führt er beliebigen Code aus. Das ist alles absolut vorläufig, steht auch in dem Link etwas weiter oben.

Ist also ein Remote Code Execution Exploit via SSH der aber mit Public Key Kryptographie authorisiert wird, also ohne den privaten Schlüssel dahinter kann man nichts machen. Das macht es auch bisher unmöglich remote zu checken ob ein SSH Server verwundbar ist.

 

[JustAnotherTux]

jein, lies die Analyse oben, die ich gelinkt hatte. Es wurde (bisher) nur openssh angegriffen

In der CVE Beschreibung steht das es mit allem funktioniert welches gegen die manipulierte Lib Version gelinked wurde, also prinzipiell sollte es nicht nur mit openssh funktionieren.

This results in a modified liblzma library that can be used by any software linked against this library, intercepting and modifying the data interaction with this library.

 

[Merkmal]

Kann auch Ubuntu Snap welches openssh als Abhängigkeit verwendet, betroffen sein?

 

[JustAnotherTux]

Wenn der SSHD so wie in Debian mit Systemd gelinkt ist, dann wird der Schadcode in der library ausgeführt. Der scheint Anfragen über SSH gegen einen öffentlichen Schlüssel zu checken, wenn der stimmt dann führt er beliebigen Code aus. Das ist alles absolut vorläufig, steht auch in dem Link etwas weiter oben.

Ist also ein Remote Code Execution Exploit via SSH der aber mit Public Key Kryptographie authorisiert wird, also ohne den privaten Schlüssel dahinter kann man nichts machen. Das macht es auch bisher unmöglich remote zu checken ob ein SSH Server verwundbar ist.

Ah okay, komisch das dass nicht in der CVE Beschreibung mit drinsteht.