News Backdoor in XZ Utils ermöglicht Angriff via (Open)SSH
- Ersteller Hammerhead Shark
- Erstellt am
User-News
Von Hammerhead Shark
Hinweis: Diese "User-News" wurde nicht von der Planet 3DNow! Redaktion veröffentlicht, sondern vom oben genannten Leser, der persönlich für den hier veröffentlichten Inhalt haftet.In die von vielen Linux Distributionen genutzte Bibliothek zur Datenkompressionstool "XZ Utils" (liblzma) wurde eine Backdoor eingeschleust.
Glücklicherweise wurde diese entdeckt, bevor sie in die breite Masse ausgerollt wurde.
Einige Rolling Release Distros wurden jedoch bereits mit der infizierten Version aktualisiert (openSUSE Tumbleweed/MicroOS, Debian testing/unstable/experimental, Arch Linux, Kali Linux, Fedora Rawhide/40 Beta/41...).
Vollständige Liste der betroffened Distros: https://www.tenable.com/blog/freque...e-2024-3094-supply-chain-backdoor-in-xz-utils
Jeder sollte umgehend die Version von XZ Utils auf seinen Linux Systemen Checken und ggf. auf 5.4.x downgraden.
Wen ssh auf dem System direkt über das Internet erreichbar war, während die betroffene Version installiert war, besteht die Möglichkeit (wenn auch sehr unwahrscheinlich), dass die Lücke bereits ausgenutzt wurde.
SUSE empfiehlt in dem Fall sogar die Neuinstallation um 100% sicher zu gehen: https://news.opensuse.org/2024/03/29/xz-backdoor
Artikel auf golem.de: https://www.golem.de/news/angriff-v...aehrdet-das-linux-oekosystem-2404-183731.html
Erklärung zur Entstehung und Auswirkung der Backdoor:
@Redaktion: Eventuell kann man daraus noch ne offizielle News machen, damit es beim Seitenaufruf direkt ins Auge sticht?
Glücklicherweise wurde diese entdeckt, bevor sie in die breite Masse ausgerollt wurde.
Einige Rolling Release Distros wurden jedoch bereits mit der infizierten Version aktualisiert (openSUSE Tumbleweed/MicroOS, Debian testing/unstable/experimental, Arch Linux, Kali Linux, Fedora Rawhide/40 Beta/41...).
Vollständige Liste der betroffened Distros: https://www.tenable.com/blog/freque...e-2024-3094-supply-chain-backdoor-in-xz-utils
Jeder sollte umgehend die Version von XZ Utils auf seinen Linux Systemen Checken und ggf. auf 5.4.x downgraden.
Wen ssh auf dem System direkt über das Internet erreichbar war, während die betroffene Version installiert war, besteht die Möglichkeit (wenn auch sehr unwahrscheinlich), dass die Lücke bereits ausgenutzt wurde.
SUSE empfiehlt in dem Fall sogar die Neuinstallation um 100% sicher zu gehen: https://news.opensuse.org/2024/03/29/xz-backdoor
Artikel auf golem.de: https://www.golem.de/news/angriff-v...aehrdet-das-linux-oekosystem-2404-183731.html
Erklärung zur Entstehung und Auswirkung der Backdoor:
@Redaktion: Eventuell kann man daraus noch ne offizielle News machen, damit es beim Seitenaufruf direkt ins Auge sticht?
Zuletzt bearbeitet:
MagicEye04
Grand Admiral Special
Weiß man schon, wer genau dahinter steckt?
Hammerhead Shark
Fleet Captain Special
Wie es im Detail angelaufen ist, ist noch nicht bekannt, aber es wird folgendes angenommen:
Der Hauptentwickler hat wohl aus Zeitmangel und Burnout, sowie leichtem Druck aus der Community wegen mangelndem Fortschritt, einem Contributer zum Maintainer gemacht, nachdem dieser angeboten hatte zu helfen. Es wird spekuliert das der Account von dem der Druck ausging und der neue Maintainer eventuell von der gleichen Person stammt.
Mit den nun weitreichenden Rechten auf das Repository wurde dann über einen längeren Zeitraum gewisse Dinge am Code un der Pipeline angepasst, so dass die Backdoor zwar nicht im Sourcecode direkt sichtbar, aber in der fertig gebauten Lib enthalten ist.
Für weitere Details am besten das verlinkte Video anschauen.
Der Hauptentwickler hat wohl aus Zeitmangel und Burnout, sowie leichtem Druck aus der Community wegen mangelndem Fortschritt, einem Contributer zum Maintainer gemacht, nachdem dieser angeboten hatte zu helfen. Es wird spekuliert das der Account von dem der Druck ausging und der neue Maintainer eventuell von der gleichen Person stammt.
Mit den nun weitreichenden Rechten auf das Repository wurde dann über einen längeren Zeitraum gewisse Dinge am Code un der Pipeline angepasst, so dass die Backdoor zwar nicht im Sourcecode direkt sichtbar, aber in der fertig gebauten Lib enthalten ist.
Für weitere Details am besten das verlinkte Video anschauen.
Zuletzt bearbeitet:
Berniyh
Grand Admiral Special
- Mitglied seit
- 29.11.2005
- Beiträge
- 5.206
- Renomée
- 219
Auf heise steht ziemlich genau was passiert ist:
Sprich: per social engineering hat man Schadcode in xz eingebracht, welcher aber als Ziel eigentlich openssh hat.
Man hat also eine xz Installation erzeugt, welche zur Laufzeit das Verhalten von sshd modifiziert, so dass es sich prinzipiell "normal" verhält, außer man versucht es mit einem speziellen Schlüssel, für welchen dann spezieller Code ausgeführt wird.
Ob das in freier Wildbahn auch schon eingesetzt wurde ist wohl noch nicht ganz klar. Es wurde aber so dargestellt als wenn es vermutlich noch rechtzeitig entdeckt wurde.
Sprich: per social engineering hat man Schadcode in xz eingebracht, welcher aber als Ziel eigentlich openssh hat.
Man hat also eine xz Installation erzeugt, welche zur Laufzeit das Verhalten von sshd modifiziert, so dass es sich prinzipiell "normal" verhält, außer man versucht es mit einem speziellen Schlüssel, für welchen dann spezieller Code ausgeführt wird.
Ob das in freier Wildbahn auch schon eingesetzt wurde ist wohl noch nicht ganz klar. Es wurde aber so dargestellt als wenn es vermutlich noch rechtzeitig entdeckt wurde.