News Sicherheitslücke in xz: Backdoor in Linux-Archivbibliothek macht Systeme angreifbar

[ebird]

Tja, jemand wird sich schon die Commits angucken, und Open Source ist sicher, ist damit wohl widerlegt. Frage mich nur, wie viele Schläfer in Closed-Source-Produkten Backdoors platzieren.

Jonathan Blow on backdoors and cybersecurity

Genau so ist es passiert. Er und die Lücke wurde entdeckt, da es OpenSouce ist.

 

[Meta.Morph]

Gibt es Arch Nutzer, die ältere Kernels als den LTS laufen haben? Bzw. in welchem Szenario ist das sinnvoll - unter Arch?

 

[Merkmal]

Follow-Up: xz-utils / liblzma backdoored
Posted on 30. März 2024 by marius

Lasse Collin, der Original Author von XZ, hat sich des Problems bereits angenommen und andere Änderungen zurück genommen, die von dem „Jin Tan“ Angreifer gemacht wurden.
Follow-Up: xz-utils / liblzma backdoored

z.B. wurde die Sandbox wieder aktiviert, die absichtlich sabotiert wurde:

Quelle - marius.bloggt-in-braunschweig.de

Bin gespannt, was noch gefunden wird.

 

[halbtuer2]

Mein Problem bei der Sache ist nicht diese Sichrheitslücke in Linux, sondrn eher, daß ich absolut nur Bahnhof verstanden habe beim lesen des Artikels.
Welche Distros sind denn nun betroffen? Weil ich versuche mich zur Zeit mal wieder an Linux Mint zwecks Entkopplung von Windows wenn Support Win 10 ausläuft.

 

[nöörd]

Windows 11 ist wohl auch betroffen:

https://gist.github.com/thesamesam/...malink_comment_id=5006624#gistcomment-5006624

 

[CodeCrusader]

Aus Sicherheitsgründen hat Homebrew, das Paketmanagement-System für macOS, bereits einen erzwungenen Downgrade auf Version 5.4.6 der xz Utils durchgeführt.

Obwohl davon ausgegangen wird, dass die von Homebrew bereitgestellten Pakete nicht kompromittiert sind, wurde dieser Schritt als Sicherheitsmaßnahme ergriffen und da man dem Ganzen nicht mehr traut, um jegliche Risiken auszuschließen.

https://github.com/orgs/Homebrew/discussions/5243#discussioncomment-8954951

 

[Redundanz]

open source ist sicher, wenn sowohl maintainer-gruppen als auch community strikt code-reviews durchführt - vor release versteht sich. ohne 100% code/commit review gibt es einfach kein release. wer anregungen braucht wie sowas organisiert wird muss nur schauen wie es bei den kernel-devs läuft.
(test-)binary-blobs via buildscript integrieren ist halt einfach ein no-go. spätestens wenn man das bei der prüfung sieht muss man die reißleine ziehen.

ein bad actor hat im closed source bereich natürlich viel viel leichteres spiel. gerade wenn der bad actor die einzige oder letzte prüfinstanz ist...

und klar kann man den exploit als sicherheitslücke bezeichnen. eine sicherheitslücke ist zwar nicht immer eine backdoor. aber eine backdoor ist immer eine sicherheitslücke...

 

[0x8100]

Linux Mint

ist nicht betroffen, da es auf ubuntu 22.04 aufbaut, welches noch die ältere version 5.2.5 der liblzma verwendet (anstatt der betroffenen 5.6.0 bzw. 5.6.1)

 

[EdwinOdesseiron]

Hat noch jemand gerade über 4000 zu aktualisierende Pakete in OpenSuse Tumbleweed? Könnte das mit xz zu tun haben?

Edit: Okay hab was gefunden:
https://www.reddit.com/r/openSUSE/c...package_update_for_tumbleweed_an_explanation/

 

[sedot]

Hat noch jemand gerade über 4000 zu aktualisierende Pakete in OpenSuse Tumbleweed?

Ja, kompletter Rebuild ist notwendig auch wenn sich nur wenige Pakete ändern. Hatte ich so irgendwo gelesen.

 

[ghecko]

4000 zu aktualisierende Pakete in OpenSuse Tumbleweed?

Ich hab ehrlich gesagt nur noch Ärger mit Tumbleweed (KDE). Am Wochenende erst wieder den komplett verborkten Desktop nach einem Update gefixt, Softwareupdates aus dem KDE-Tool heraus ist instabil und erzeugt Fehler am laufenden Band. Und alles ist zäh und langsam. Sobald ich mehr Zeit hab fliegt das im hohen Bogen vom System, das ist mir einfach zu viel Wartungsaufwand.

 

[Serana]

Welche Distros sind denn nun betroffen? Weil ich versuche mich zur Zeit mal wieder an Linux Mint zwecks Entkopplung von Windows wenn Support Win 10 ausläuft.

Bei Debian-basierten Distributionen kannst du z.B. die Version der xz-utils überprüfen. Ist die derzeit größer als 5.4.6 dann handelt es sich um die Version mit der Backdoor.

Das gefixte Paket bei Debian trägt die Version 5.6.1+really5.4.5-1

Bei Debian waren Sid und Testing betroffen, da Ubuntu seine Pakete unter anderem von Debian bezieht ist/war es auch betroffen, aber ich denke, daß auch da inzwischen aufgeräumt wurde. Linux Mint basiert wahlweise auf Ubuntu oder Debian, aber da weiß ich nicht ob die betroffenen Pakete schon gefixt wurden.

Hat noch jemand gerade über 4000 zu aktualisierende Pakete in OpenSuse Tumbleweed? Könnte das mit xz zu tun haben?

Ja, ich habe gestern mit Debian Sid auch eine wahre Update-Orgie hinter mich gebracht.

Nachtrag:
Wie ich gerade nochmal nachgelesen habe war Ubuntu anscheinend nie betroffen und bekam die Warnung rechtzeitig. Auch dort wurde aber wohl aktiv versucht die kompromittierte Version unterzubringen.

https://bugs.launchpad.net/ubuntu/+source/xz-utils/+bug/2059417

 

[sedot]

Und alles ist zäh und langsam.

Scheint eine KDE Besonderheit zu sein, Gnome und Xfce sind smooth sailing. Gut, Gnome hatte mit dem Sprung auf 46 einige Extensions abgeschossen, aber nun ja.

 

[Miuwa]

Auf jeden Fall wurde hier in staatlichem Interesse gehandelt, denn wer sich über zwei Jahre den Entwicklern anbiedert, der macht das mit System und vermutlich einem Decknamen.

Würde mich nicht wundern, wenn China dahintersteckt.

Auch wenn ich das ebenfalls für das wahrscheinlichste halte: Wenn man überlegt, welche Summen inzwischen mit Cyberkriminalität verdient wird finde ich es eigentlich auch plausibel, dass da ne Hackergruppe oder Einzelperson dahinter steckt. Hab mich aber nur sehr oberflächlich mit dem Vorfall oder z.B. der Commithistory dieses Accounts beschäftigt.

 

[Grimba]

Wenn jemand bei microsoft arbeitet kann er auch ein agent sein aber der aufwand ist groesser.

Von rechtzeitig habe ich nicht gesprochen, nur dass es eben jemand entdeckt hat WEIL es offen ist.

Warum ist der Aufwand größer? Hier wurden Jahre investiert, um sich an eine Position zu bringen, die das Vertrauen mitbrachte, um das durchzuführen. Das gleiche machst du innerhalb einer Firma oder einer Behörde. Dort an entsprechender Entscheidungsposition angekommen ist es ggf. sogar einfacher: Von unten ist die Überwindung größer, dich in Frage zu stellen und von außen kann keiner reingucken. Das hat dann sogar eher das Potenzial dazu, dass eine solche Lücke länger unentdeckt bleibt.

 

[dh9]

Wer mehr ueber den Bash Teil erfahren moechte, findet hier eine super Analyse von Gynvael:

https://gynvael.coldwind.pl/?lang=en&id=782

 

[=rand(42)]

"(...) und diese wurden proaktiv in aktuelle Linux-Distributionen eingepflegt."

aha? liest sich heftig!

Computerbase bleibt uns jedoch schuldig, eine produktive Distro zu nennen, in der der Patch bereits eingepflegt wude.

Ist jetzt dennoch krass.

Aber die Backdoor wurde glücklicherweise gefunden noch bevor die Patches ihren Weg von Test / Prelease - und damit auf die ganzen über ssh erreichbaren Servern - gefunden haben.

 

[EdwinOdesseiron]

@ghecko
Ist für mich kein Tumbleweed-Problem, sondern ein KDE-Problem. Deshalb habe ich eigentlich auch jahrelang Gnome genutzt und bin erst mit Plasma 6 wieder rüber um zu schauen, ob es besser geworden ist. Noch habe ich Plasma 6 im Einsatz, aber gucken wir mal wie lange das noch sein wird.

 

[Grimba]

Computerbase bleibt uns jedoch schuldig, eine produktive Distro zu nennen, in der der Patch bereits eingepflegt wude.

Betroffene Systeme und Versionen​

Die Verwundbarkeit ergibt sich durch das Zusammenspiel folgender Parameter:

• xz in Version 5.6.0 oder 5.6.1
• Distribution mit glibc
• Besonders .deb- und .rpm-Distributionen sind betroffen

Updates sind dringend angeraten. Die amerikanische CISA (Cybersecurity & Infrastructure Security Agency) empfiehlt ein Downgrade zu Version 5.4.6.

Arch-Nutzer sollen das Update auf 5.6.1-2 ausführen.

In Debian und weiteren Distributionen ist openssh mit der Unterstützung für systemd notifications gepatcht, welches wiederum liblzma nutzt. Dieser Angriffsvektor ist unter Arch Linux nicht gegeben. Ob das eigenen System akut betroffen ist, lässt sich über den Befehl „ldd "$(command -v sshd)“ prüfen. Die Ausgabe zeigt eine eventuell vorhandene Verlinkung zu liblzma an.

Hinweis: ldd sollte nur auf vertrauenswürdige Pakete angewandt werden um missliebige Codeausführung zu vermeiden.

Fedora warnt Nutzer der Fedora 40 Beta – Fedora 38 & 39 sowie 40 mit Paketen ausschließlich aus dem stable-repo sind nicht betroffen.

openSUSE aktualisiert das Paket zu 5.6.1.revertto5.4, um den Schadcode zu beseitigen.

Ubuntu scheint hierbei glimpflich davon gekommen zu sein.

Generell gilt neben dem sofortigen Update des Betriebssystems beziehungsweise des xz-Pakets auch der Rat, SSH abzustellen, falls dieses gegenwärtig nicht genutzt wird.

Steht doch alles da

 

[SheepShaver]

Für mich am interessantesten ist tatsächlich, wer hinter der Backdoor steckt. Der genutzte Account existiert ja bereits seit 2021, der Libera Account seit 2022. Natürlich lief sämtliche Kommunikation über VPN oder Proxy.
Siehe
https://news.ycombinator.com/item?id=39870098
https://news.ycombinator.com/item?id=39868773