Sicherheitslücke in xz utils Linux
- Ersteller Mike
- Erstellt am
Der Bericht ist etwas "flach". Das Problem bezieht sich nicht nur auf Linux, sondern auf alle Anwendungen (auch Windows-Anwendungen!), die diese Bibliothek benutzen. Kein Programmierer und kein Unternehmen wird die Datenkompression neu erfinden, stattdessen werden sie eine Bibliothek einbinden, selbstverständlich auch in kommerzieller Software. Der kriminelle Programmierer hat zur Tarnung zwei Jahre lang kontinuierlich gut mitgearbeitet, bevor er (sehr gut getarnt!) schädlichen Code eingebaut hat.
Zuletzt bearbeitet:
- Mitglied seit
- 11.11.2001
- Beiträge
- 9.611
- Renomée
- 427
- Standort
- Bayern, am Rande des Wahnsinns
Richtig, jedes Tool, das diese Bibliothek nutzt ist potentiell gefährdet (gefährlich), auch wenn der Angriff primär auf die Kompromittierung von SSH auf Linux/Unix abzielt.
Zudem war "Linux" nicht so allgemein betroffen, wie das da dargestellt wurde, betroffen waren wohl nur "bleeding edge" Versionen, weder bei Ubuntu noch bei Debian, SUSE Enterprise oder RedHat Enterprise Linux waren die "Stable"-Versionen betroffen, um ein paar bekannte Beispiele zu nennen.
Auch FreeBSD war nicht betroffen.
Alles andere als "stable" sollte in einer Produktivumgebung ohnehin nicht genutzt werden.
Betroffen waren bei den Distributionen wie erwähnt primär "bleeding edge" bzw. rolling release Distributionen:
Gentoo (bereits gefixt)
Archlinux (und mutmaßlich Manjaro)
Fedora 41
openSUSE Tumbleweed
Aber ist echt bedenklich, dass das über zwei Jahre so vorbereitet wurde und letztlich nur gefunden wurde, weil ein Testcase deutlich mehr CPU-Load erzeugt hat als normal. Die 500ms die hier genannt werden waren nicht der erste Punkt, der aufgefallen ist, auch wenn sich die meisten darauf gestürzt haben.
edit: https://nvd.nist.gov/vuln/detail/CVE-2024-3094 hier gibt es eine gute Übersicht betroffener Distributionen, CVEs von tools usw.
Zudem war "Linux" nicht so allgemein betroffen, wie das da dargestellt wurde, betroffen waren wohl nur "bleeding edge" Versionen, weder bei Ubuntu noch bei Debian, SUSE Enterprise oder RedHat Enterprise Linux waren die "Stable"-Versionen betroffen, um ein paar bekannte Beispiele zu nennen.
Auch FreeBSD war nicht betroffen.
Alles andere als "stable" sollte in einer Produktivumgebung ohnehin nicht genutzt werden.
Betroffen waren bei den Distributionen wie erwähnt primär "bleeding edge" bzw. rolling release Distributionen:
Gentoo (bereits gefixt)
Archlinux (und mutmaßlich Manjaro)
Fedora 41
openSUSE Tumbleweed
Aber ist echt bedenklich, dass das über zwei Jahre so vorbereitet wurde und letztlich nur gefunden wurde, weil ein Testcase deutlich mehr CPU-Load erzeugt hat als normal. Die 500ms die hier genannt werden waren nicht der erste Punkt, der aufgefallen ist, auch wenn sich die meisten darauf gestürzt haben.
edit: https://nvd.nist.gov/vuln/detail/CVE-2024-3094 hier gibt es eine gute Übersicht betroffener Distributionen, CVEs von tools usw.
Zuletzt bearbeitet:
enigmation
Admiral Special
Bei Heise ist das besser zusammengefasst als bei n-tv:
www.heise.de
XKCD #2347 dazu:
Die xz-Hintertür: Das verborgene Oster-Drama der IT
Mit einer Hintertür in einer unbekannten Kompressionsbibliothek hätten Unbekannte beinahe große Teile des Internets übernehmen können. Leider kein Scherz.
eratte
Redaktion
☆☆☆☆☆☆
Der Autor meint es vielleicht gut (dass es mehr Finanzierung braucht), aber im Ergebnis haut er doch ganz schön daneben.
Zum Beispiel wenn er Open Source "nicht nachhaltig" nennt und ignoriert, was wir alle mit Closed Source schon diverse Male erlebt haben:
- die Firma stellt das Produkt sang und klanglos ein. Warum auch immer.
- die Firma wird aufgekauft und stellt das Produkt ein, weil es nicht mehr "in die neue Strategie" passt
- die Firma geht bankrott
- ... oder verdreifacht den Preis
- die Firma führt einen Cloud-Zwang ein, den man nicht will.
- das Produkt wird mit vier anderen Produkten zu einem "Paket" verwoben, und man muss entweder alles nehmen, oder nichts.
- Seit Neuestem glaubt die Firma, dass Software zu kaufen "irgendwie Mittelalter" sei. Deshalb gibt es die Produkte ab sofort nur noch "im Abo".
Diese sieben Punkte sind das Gegenteil von "nachhaltig".
Wenn ein Geheimdienst 3 Jahre Arbeit investiert, um einen Mann irgendwo einzuschleusen, schafft er das Gleiche auch bei Closed Source.
Mir wäre nicht bekannt, dass Microsofts Programmierer alle unter Langeweile litten und Beiträge eines Kollegen mit drei Jahren Betriebszugehörigkeit ablehnen würden (oder seine Arbeit großartig nachkontrollieren, wobei das, was er gemacht hat, schwer zu entdecken war).
Man denke mal an eine russische Geheimdienst-Operation namens Wirecard, mit 3,1 Milliarden Euro Schaden. Das lief deutlich länger als 3 Jahre, und der ehemalige Chef lebt jetzt in Russland.
Zum Beispiel wenn er Open Source "nicht nachhaltig" nennt und ignoriert, was wir alle mit Closed Source schon diverse Male erlebt haben:
- die Firma stellt das Produkt sang und klanglos ein. Warum auch immer.
- die Firma wird aufgekauft und stellt das Produkt ein, weil es nicht mehr "in die neue Strategie" passt
- die Firma geht bankrott
- ... oder verdreifacht den Preis
- die Firma führt einen Cloud-Zwang ein, den man nicht will.
- das Produkt wird mit vier anderen Produkten zu einem "Paket" verwoben, und man muss entweder alles nehmen, oder nichts.
- Seit Neuestem glaubt die Firma, dass Software zu kaufen "irgendwie Mittelalter" sei. Deshalb gibt es die Produkte ab sofort nur noch "im Abo".
Diese sieben Punkte sind das Gegenteil von "nachhaltig".
Wenn ein Geheimdienst 3 Jahre Arbeit investiert, um einen Mann irgendwo einzuschleusen, schafft er das Gleiche auch bei Closed Source.
Mir wäre nicht bekannt, dass Microsofts Programmierer alle unter Langeweile litten und Beiträge eines Kollegen mit drei Jahren Betriebszugehörigkeit ablehnen würden (oder seine Arbeit großartig nachkontrollieren, wobei das, was er gemacht hat, schwer zu entdecken war).
Man denke mal an eine russische Geheimdienst-Operation namens Wirecard, mit 3,1 Milliarden Euro Schaden. Das lief deutlich länger als 3 Jahre, und der ehemalige Chef lebt jetzt in Russland.
Zuletzt bearbeitet:
Berniyh
Grand Admiral Special
- Mitglied seit
- 29.11.2005
- Beiträge
- 5.206
- Renomée
- 219
Ich denke den Punkt bzgl. "nachhaltig" hast du falsch verstanden.
Es geht darum, dass es nicht nachhaltig ist, wenn Open Source Projekte alleine stehengelassen werden, wie es im Falle von xz eben passiert ist.
Wenn ein Projekt, wie eben xz, ein wesentlicher Baustein im Fundament von Linux Distributionen, aber auch auf Windows, für Server, für das Internet, ist, dann ist es nicht nachhaltig, wenn man das verkümmern lässt, sondern man muss sich aktiv darum kümmern, dass es auch in Zukunft gepflegt wird.
Das ist auch kein Einzelfall, denn schon im Bereich von Javascript gab es ja vor nicht allzu langer Zeit auch so einen Fall mit core-js:
www.thestack.technology
Alle nutzen es, aber (fast) keiner kümmert sich darum. Das ist mit "nicht nachhaltig" gemeint.
Dabei ist es im Prinzip auch erstmal völlig irrelevant, dass es sich um Open Source handelt. Aber Open Source ist eben typischerweise auch kostenlos und das verleitet zu so einer Vorgehensweise.
Es geht darum, dass es nicht nachhaltig ist, wenn Open Source Projekte alleine stehengelassen werden, wie es im Falle von xz eben passiert ist.
Wenn ein Projekt, wie eben xz, ein wesentlicher Baustein im Fundament von Linux Distributionen, aber auch auf Windows, für Server, für das Internet, ist, dann ist es nicht nachhaltig, wenn man das verkümmern lässt, sondern man muss sich aktiv darum kümmern, dass es auch in Zukunft gepflegt wird.
Das ist auch kein Einzelfall, denn schon im Bereich von Javascript gab es ja vor nicht allzu langer Zeit auch so einen Fall mit core-js:
Core-js has been downloaded 9B times. Its maintainer is broke and angry
The primary maintainer of an open source project, core-js that is on hundreds of millions of websites, says he may make it closed source.
www.thestack.technology
Alle nutzen es, aber (fast) keiner kümmert sich darum. Das ist mit "nicht nachhaltig" gemeint.
Dabei ist es im Prinzip auch erstmal völlig irrelevant, dass es sich um Open Source handelt. Aber Open Source ist eben typischerweise auch kostenlos und das verleitet zu so einer Vorgehensweise.
Die Debatte ist ja auch richtig und man kann gerne etwas ändern (z. B. auf EU-Ebene).
Viele Presseartikel stellen aber pauschal "Linux" und "Open Source" als "Problem" hin. Auch aus dem Heise-Artikel geht meines Erachtens nicht klar genug hervor, dass diese Gefahr prinzipiell besteht, bei jeder Art von Software. Sobald jemand bereit ist, etwas mehr Energie als sonst zu investieren.
Eine Konsequenz könnte auch sein, den ganzen Cloud-Hype mal zu überdenken (1x hacken = viele tausend Opfer gleichzeitig).
Viele Presseartikel stellen aber pauschal "Linux" und "Open Source" als "Problem" hin. Auch aus dem Heise-Artikel geht meines Erachtens nicht klar genug hervor, dass diese Gefahr prinzipiell besteht, bei jeder Art von Software. Sobald jemand bereit ist, etwas mehr Energie als sonst zu investieren.
Eine Konsequenz könnte auch sein, den ganzen Cloud-Hype mal zu überdenken (1x hacken = viele tausend Opfer gleichzeitig).
Zuletzt bearbeitet:
