News Sicherheitslücke in xz: Backdoor in Linux-Archivbibliothek macht Systeme angreifbar

[Haremhab]

Beim Linux-Kernel unentdeckt irgendwelche Backdoors einzuschleusen, dürfte um einiges schwieriger sein als bei so einem 1-Mann-Projekt.

Am Kernel arbeiten deutlich mehr Leute, die das auch teils hauptberuflich, also in Vollzeit machen und bei eingereichtem Code gucken dann auch mehrere Leute drauf, bevor der überhaupt aufgenommen wird.

Es sind aber Milliarden an neuen Codezeilen für den Linux-Kernel. Wer untersucht @LinuX-Foundation den Code-Beitrag aus diversen Quellen nach Backdoors? Gilt @LinuX-Projekt bei allen Playern fairplay oder schleichen sich auch "Ratten"
ein?

 

[Mordi]

Aber ich will ja nicht wissen wenn Linux auch seine 20% hätte Wird viele Milliarden Bugs und Sicherheits Lücken Auftauchen würden.

Die hat ws doch schon längst - im Server Bereich, der ebenso sehr spannend jst für Sicherheitslücken, bis hin zu oftmals interessanter.

 

[Kalsarikännit]

ein bad actor hat im closed source bereich natürlich viel viel leichteres spiel. gerade wenn der bad actor die einzige oder letzte prüfinstanz ist...

Gewagte Aussage - man muss sich schließlich erst mal in die Position bringen um letztendlich die Reviews absegnen zu können und zu mergen. Ist ja nicht so da man einfach bei Microsoft oder Apple angeschlappt kommen muss und den Job als Maintainer bekommt.
Bin ja absoluter Freund von OpenSource, würde aber auch nicht drauf wetten das es mehr good actors als bad actors gibt die die Repos nach eventuellen Lücken durchsuchen (von den Kernels mal abgesehen).

 

[Grimba]

Soll ich am Besten ein "Clean Install" durchführen?

Im Artikel hier steht etwas dazu und ein Link führt zu einer Erklärung vom SuSE Team. Einfach mal wieder in den Artikel gucken hilft.

 

[0x8100]

Bin auch Solzer Besitzer eines Windows 11 mit 0 Opensourcer installiert.

glaube ich nicht. ms hat jede menge open-source selbst bereitgestellt (was auch in windows ist) und verwendet ebenso jede menge andere open-source software in windows.

 

[Kaito Kariheddo]

Damit ist das ja auch geklärt.

Naja steht in den Lizenzbedingungen zu Windows nicht, dass man Microsoft Zugriff auf alle persönlichen Daten wie Bilder gewährt ? Ich meine mich zu erinnern, dass noch zu Windows 10 Zeiten sowas drinne stand

 

[FCK_PTN]

Soll MS ruhig machen, ich habe nur noch einen Win-PC der ausschließlich offline für Musikproduktion eingesetzt wird. Ansonsten nutze ich Mint und Fedora auf meinen restlichen Geräten und bin für meine Zwecke damit gut bedient.

 

[Redundanz]

...man muss sich schließlich erst mal in die Position bringen um letztendlich die Reviews absegnen zu können und zu mergen. Ist ja nicht so da man einfach bei Microsoft oder Apple angeschlappt kommen muss und den Job als Maintainer bekommt.

wie schwer oder leicht es ist in firmen an bestimmte positionen zu kommen will ich gar nicht beurteilen.
das ist vorgelagert, wird von firma zu firma unterschiedlich sein und ist abhängig von etlichen faktoren. zudem ein bad actor ebenfalls durch erpressung/blackmailing von außen auf entsprechend bemächtigte stellen einwirken könnte.

und natürlich ist es bei open-source - per design - jedem interessierten möglich irgendwo mitzuwirken und wohl auch durch längerfristiges engagement vertrauen zu community/maintainergruppe aufzubauen.

jedoch das was ich - mit deutlichem bezug auf codeprüfung - beurteilt habe, war, dass ein bad actor im closed-source-bereich ein für ihn wesentlich überschaubareres spielfeld hat.

gerade wenn der bad actor die einzige oder letzte prüfinstanz ist...

 

[Leap]

@Tempo In dem Fall solltest du auf der sicheren Seite sein. Ein einfaches Update reicht. Es bestand ja keine offene Verbindungsmöglichkeit.

@Kaito Kariheddo Vielleicht wäre es gut, den Nutzern der betroffenen Bibliotheken, die SSH aktiv genutzt haben, eine Neuinstallation zu empfehlen. Sollte die Backdor bereits ausgenutzt worden sein, hilft auch das Update nicht mehr, um eventuellen Schadcode zu entfernen.

Außerdem wurden wohl speziell die Distros anvisiert, die professionell von Unternehmen oder Behörden eingesetzt werden (Debian, SUSE und RHEL). Deswegen ist Arch bspw. nicht betroffen.

 

[rarp]

Sorry, falls das hier schon erwähnt wurde.
Heise hatte gestern Nacht noch ein Update zur Backdoor gebracht:

xz-Attacke: Hintertür enträtselt, weitere Details zu betroffenen Distros

Damit die Hintertür dann auch ausgeführt wird, müssen neben der gültigen Signatur noch weitere Vorbedingungen erfüllt sein:

1. Die Umgebungsvariable TERM – üblicherweise Kennzeichen für eine interaktive Terminal-Sitzung – darf nicht gesetzt sein,
2. Der Zielprozess muss /usr/sbin/sshd heißen,
3. weder die Umgebungsvariablen LD_DEBUG noch LD_PROFILE sind gesetzt,
4. eine Sprache ist mittels der Umgebungsvariable LANG festgelegt
5. keine Debugging-Session mittels rr oder gdb findet statt.

Trifft eine der Vorbedingungen nicht zu, verweigert die Hintertür den Dienst.

Bei mir ist beispielsweise die Umgebungsvariable TERM gesetzt.

 

[Kalsarikännit]

jedoch das was ich - mit deutlichem bezug auf codeprüfung - beurteilt habe, war, dass ein bad actor im closed-source-bereich ein für ihn wesentlich überschaubareres spielfeld hat.

Zustimmung! Wenn man erst mal in der Position ist steht einem wirklich Tür und Tor offen.

 

[konkretor]

https://twitter.com/fr0gger_/status/1774342248437813525/photo/1

 

[halbtuer2]

ist nicht betroffen, da es auf ubuntu 22.04 aufbaut, welches noch die ältere version 5.2.5 der liblzma verwendet (anstatt der betroffenen 5.6.0 bzw. 5.6.1)

Danke für die Antwort, kann ich ja weiterhin versuchen, mit Linux auf dem Laptop grün zu werden. 👍

 

[Nowareeng]

Wer ssh nicht nutzt ist sowiso safe oder ?

 

[nöörd]

Nein die Lücke ist in der xz Bibliothek. Einfach die Updates einspielen.

 

[aluis]

Da es noch keiner geschrieben hat: SSH gehört genau sowenig ins Internet wie RDP, egal ob der Login über Schlüssel eingerichtet ist oder nicht. Wer sowas macht, braucht sich doch nicht wundern.

Da Backdoors vorwiegend auf Servern interessant sind

Finde ich nicht. Auf Desktoprechnern findet man Kryptowallets oder Zugänge, mit denen man sich weiter hangelt.

 

[JustAnotherTux]

Linux hat is jetzt ja nur wegen der fast nicht Verbreitung so wenig malware weil ist ja nicht lustig für den Bösewicht wenn nur 5 leute schreien, und nicht windows 10000ende.
Aber ich will ja nicht wissen wenn Linux auch seine 20% hätte Wird viele Milliarden Bugs und Sicherheits Lücken Auftauchen würden.

Du weißt aber schon das Linux auf sehr vielen Servern läuft?

Das ist viel interessanter als die Desktop PCs.

 

[Zornica]

auf manchen seiten wird direkt zu kompletter Neuinstallation des Systems geraten... Übertriebene Vorsichtsmaßnahme oder gerechtfertigt?

 

[Gendra]

Da es noch keiner geschrieben hat: SSH gehört genau sowenig ins Internet wie RDP, egal ob der Login über Schlüssel eingerichtet ist oder nicht

Weil es ja auch Unsinn ist. Was schlägst du denn vor um einen Server remote zu administrieren? Dafür ein z.b. ein VPN einzurichten schafft nicht nur neue potentielle Lücken sondern man braucht trotzdem noch eine Schnittstelle um das VPN selbst warten zu können.

 

[mibbio]

Da es noch keiner geschrieben hat: SSH gehört genau sowenig ins Internet

Und meinen Server, den ich irgendwo gemietet habe, administriere ich dann per Telepathie?

Dafür ein z.b. ein VPN einzurichten schafft nicht nur neue potentielle Lücken sondern man braucht trotzdem noch eine Schnittstelle um das VPN selbst warten zu können.

Und man braucht dann entsprechen auch einen zweiten Server, der Zugriff auf den zu administierenden Server hat, auf dem dann der VPN-Dienst läuft. Das mag in einem Unternehmen sinnvoll sein, wo mehrere Server remote administriert werden.
Wenn man aber irgendwo nen (virtuellen) Server für 10€/Monat mietet, um einen Webserver, eine Teamspeak-Instanz oder vielleich nen Multiplayer-Server zu hosten, stellt da keiner für nochmal x€/Monat einen weiteren Server für VPN davor.