App installieren
How to install the app on iOS
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: This feature may not be available in some browsers.
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Sicherheitslücke in xz utils Linux
- Ersteller Mike
- Erstellt am
Mike
Grand Admiral Special
- Mitglied seit
- 11.11.2001
- Beiträge
- 5.095
- Renomée
- 103
- Standort
- Bayern
- Aktuelle Projekte
- Einstein, Milkyway
- Lieblingsprojekt
- Seti
- Prozessor
- R7 1800X
- Mainboard
- Assus Crosshair 6 Hero
- Kühlung
- Noctua D15
- Speicher
- 16 GB Gskill 3200 CL14
- Grafikprozessor
- Sapphire RX 6600XT Nitro+
- SSD
- Samsung Nvme 970 EvoPlus 2TB + Samsung 960 Evo 500GB
- Netzteil
- Corsair Graphite 600D
- Betriebssystem
- Solus 4.5 Resilience
- Webbrowser
- Brave
Schwere Sicherheitslück in XZ utils
BSI warnt vor xz utils
Unbedingt updates einspielen wenn verfügbar.
BSI warnt vor xz utils
Unbedingt updates einspielen wenn verfügbar.
derDruide
Grand Admiral Special
- Mitglied seit
- 09.08.2004
- Beiträge
- 2.731
- Renomée
- 435
- Prozessor
- AMD Ryzen 3900X
- Mainboard
- Asus Strix B450-F Gaming
- Kühlung
- Noctua NH-C14
- Speicher
- 32 GB DDR4-3200 CL14 FlareX
- Grafikprozessor
- Radeon RX 590
- Display
- 31.5" Eizo FlexScan EV3285
- SSD
- Corsair MP510 2 TB, Samsung 970 Evo 512 GB
- HDD
- Seagate Ironwulf 6 TB
- Optisches Laufwerk
- Plextor PX-880SA
- Soundkarte
- Creative SoundblasterX AE-7
- Gehäuse
- Antec P280
- Netzteil
- be quiet! Straight Power E9 400W
- Maus
- Logitech Trackman Marble (Trackball)
- Betriebssystem
- openSUSE 15.2
- Webbrowser
- Firefox
- Internetanbindung
- ▼50 MBit ▲10 MBit
Der Bericht ist etwas "flach". Das Problem bezieht sich nicht nur auf Linux, sondern auf alle Anwendungen (auch Windows-Anwendungen!), die diese Bibliothek benutzen. Kein Programmierer und kein Unternehmen wird die Datenkompression neu erfinden, stattdessen werden sie eine Bibliothek einbinden, selbstverständlich auch in kommerzieller Software. Der kriminelle Programmierer hat zur Tarnung zwei Jahre lang kontinuierlich gut mitgearbeitet, bevor er (sehr gut getarnt!) schädlichen Code eingebaut hat.
Zuletzt bearbeitet:
- Mitglied seit
- 11.11.2001
- Beiträge
- 9.611
- Renomée
- 427
- Standort
- Bayern, am Rande des Wahnsinns
- Aktuelle Projekte
- Dieses und jenes
- BOINC-Statistiken
- Mein Laptop
- HP EliteBook 840 G2, Elitebook 850 G3
- Prozessor
- Ryzen7 5800X3D
- Mainboard
- Asus TUF B550 Plus
- Kühlung
- BeQuiet DarkRock4
- Speicher
- 4x16GB DDR4-3200 Crucial
- Grafikprozessor
- XFX RX6700XT 12GB
- Display
- 2x HP X27i
- SSD
- NVMe: 970EVO 1TB, SATA: WD Blue 1TB, 870QVO 4TB, Acer RE100 4TB, 870QVO 8TB
- Optisches Laufwerk
- LG BluRay-Brenner
- Soundkarte
- Realtek ALC1200
- Gehäuse
- Fractal Define R5
- Netzteil
- Seasonic Focus 650W
- Tastatur
- Keychron K4
- Maus
- Logitech MX518
- Betriebssystem
- Win10 Pro/64, Linux 64bit (wechselnd)
- Webbrowser
- Primär: Firefox, sekundär: Wechselnd
- Internetanbindung
- ▼100 MBit ▲32 MBit
Richtig, jedes Tool, das diese Bibliothek nutzt ist potentiell gefährdet (gefährlich), auch wenn der Angriff primär auf die Kompromittierung von SSH auf Linux/Unix abzielt.
Zudem war "Linux" nicht so allgemein betroffen, wie das da dargestellt wurde, betroffen waren wohl nur "bleeding edge" Versionen, weder bei Ubuntu noch bei Debian, SUSE Enterprise oder RedHat Enterprise Linux waren die "Stable"-Versionen betroffen, um ein paar bekannte Beispiele zu nennen.
Auch FreeBSD war nicht betroffen.
Alles andere als "stable" sollte in einer Produktivumgebung ohnehin nicht genutzt werden.
Betroffen waren bei den Distributionen wie erwähnt primär "bleeding edge" bzw. rolling release Distributionen:
Gentoo (bereits gefixt)
Archlinux (und mutmaßlich Manjaro)
Fedora 41
openSUSE Tumbleweed
Aber ist echt bedenklich, dass das über zwei Jahre so vorbereitet wurde und letztlich nur gefunden wurde, weil ein Testcase deutlich mehr CPU-Load erzeugt hat als normal. Die 500ms die hier genannt werden waren nicht der erste Punkt, der aufgefallen ist, auch wenn sich die meisten darauf gestürzt haben.
edit: https://nvd.nist.gov/vuln/detail/CVE-2024-3094 hier gibt es eine gute Übersicht betroffener Distributionen, CVEs von tools usw.
Zudem war "Linux" nicht so allgemein betroffen, wie das da dargestellt wurde, betroffen waren wohl nur "bleeding edge" Versionen, weder bei Ubuntu noch bei Debian, SUSE Enterprise oder RedHat Enterprise Linux waren die "Stable"-Versionen betroffen, um ein paar bekannte Beispiele zu nennen.
Auch FreeBSD war nicht betroffen.
Alles andere als "stable" sollte in einer Produktivumgebung ohnehin nicht genutzt werden.
Betroffen waren bei den Distributionen wie erwähnt primär "bleeding edge" bzw. rolling release Distributionen:
Gentoo (bereits gefixt)
Archlinux (und mutmaßlich Manjaro)
Fedora 41
openSUSE Tumbleweed
Aber ist echt bedenklich, dass das über zwei Jahre so vorbereitet wurde und letztlich nur gefunden wurde, weil ein Testcase deutlich mehr CPU-Load erzeugt hat als normal. Die 500ms die hier genannt werden waren nicht der erste Punkt, der aufgefallen ist, auch wenn sich die meisten darauf gestürzt haben.
edit: https://nvd.nist.gov/vuln/detail/CVE-2024-3094 hier gibt es eine gute Übersicht betroffener Distributionen, CVEs von tools usw.
Zuletzt bearbeitet:
enigmation
Admiral Special
Bei Heise ist das besser zusammengefasst als bei n-tv:
XKCD #2347 dazu:
Die xz-Hintertür: Das verborgene Oster-Drama der IT
Mit einer Hintertür in einer unbekannten Kompressionsbibliothek hätten Unbekannte beinahe große Teile des Internets übernehmen können. Leider kein Scherz.
www.heise.de
eratte
Redaktion
☆☆☆☆☆☆
- Mitglied seit
- 11.11.2001
- Beiträge
- 21.895
- Renomée
- 2.826
- Standort
- Rheinberg / NRW
- Mitglied der Planet 3DNow! Kavallerie!
- Aktuelle Projekte
- YoYo, Collatz
- Lieblingsprojekt
- YoYo
- Meine Systeme
- Wegen der aktuellen Lage alles aus.
- BOINC-Statistiken
- Mein Laptop
- Lenovo ThinkPad E15 Gen4 Intel / HP PAVILION 14-dk0002ng
- Prozessor
- Ryzen R9 7950X
- Mainboard
- ASUS ROG Crosshair X670E Hero
- Kühlung
- Noctua NH-D15
- Speicher
- 2 x 32 GB G.Skill Trident Z DDR5 6000 CL30-40-40-96
- Grafikprozessor
- Sapphire Radeon RX7900XTX Gaming OC Nitro+
- Display
- 2 x ASUS XG27AQ (2560x1440@144 Hz)
- SSD
- Samsung 980 Pro 1 TB & Lexar NM790 4 TB
- Optisches Laufwerk
- USB Blu-Ray Brenner
- Soundkarte
- Onboard
- Gehäuse
- NEXT H7 Flow Schwarz
- Netzteil
- Corsair HX1000 (80+ Platinum)
- Tastatur
- ASUS ROG Strix Scope RX TKL Wireless / 2. Rechner&Server Cherry G80-3000N RGB TKL
- Maus
- ROG Gladius III Wireless / 2. Rechner&Server Sharkoon Light2 180
- Betriebssystem
- Windows 11 Pro 64
- Webbrowser
- Firefox
- Verschiedenes
- 4 x BQ Light Wings 14. 1 x NF-A14 Noctua Lüfter. Corsair HS80 Headset .
- Internetanbindung
- ▼VDSL 100 ▲VDSL 100
derDruide
Grand Admiral Special
- Mitglied seit
- 09.08.2004
- Beiträge
- 2.731
- Renomée
- 435
- Prozessor
- AMD Ryzen 3900X
- Mainboard
- Asus Strix B450-F Gaming
- Kühlung
- Noctua NH-C14
- Speicher
- 32 GB DDR4-3200 CL14 FlareX
- Grafikprozessor
- Radeon RX 590
- Display
- 31.5" Eizo FlexScan EV3285
- SSD
- Corsair MP510 2 TB, Samsung 970 Evo 512 GB
- HDD
- Seagate Ironwulf 6 TB
- Optisches Laufwerk
- Plextor PX-880SA
- Soundkarte
- Creative SoundblasterX AE-7
- Gehäuse
- Antec P280
- Netzteil
- be quiet! Straight Power E9 400W
- Maus
- Logitech Trackman Marble (Trackball)
- Betriebssystem
- openSUSE 15.2
- Webbrowser
- Firefox
- Internetanbindung
- ▼50 MBit ▲10 MBit
Der Autor meint es vielleicht gut (dass es mehr Finanzierung braucht), aber im Ergebnis haut er doch ganz schön daneben.
Zum Beispiel wenn er Open Source "nicht nachhaltig" nennt und ignoriert, was wir alle mit Closed Source schon diverse Male erlebt haben:
- die Firma stellt das Produkt sang und klanglos ein. Warum auch immer.
- die Firma wird aufgekauft und stellt das Produkt ein, weil es nicht mehr "in die neue Strategie" passt
- die Firma geht bankrott
- ... oder verdreifacht den Preis
- die Firma führt einen Cloud-Zwang ein, den man nicht will.
- das Produkt wird mit vier anderen Produkten zu einem "Paket" verwoben, und man muss entweder alles nehmen, oder nichts.
- Seit Neuestem glaubt die Firma, dass Software zu kaufen "irgendwie Mittelalter" sei. Deshalb gibt es die Produkte ab sofort nur noch "im Abo".
Diese sieben Punkte sind das Gegenteil von "nachhaltig".
Wenn ein Geheimdienst 3 Jahre Arbeit investiert, um einen Mann irgendwo einzuschleusen, schafft er das Gleiche auch bei Closed Source.
Mir wäre nicht bekannt, dass Microsofts Programmierer alle unter Langeweile litten und Beiträge eines Kollegen mit drei Jahren Betriebszugehörigkeit ablehnen würden (oder seine Arbeit großartig nachkontrollieren, wobei das, was er gemacht hat, schwer zu entdecken war).
Man denke mal an eine russische Geheimdienst-Operation namens Wirecard, mit 3,1 Milliarden Euro Schaden. Das lief deutlich länger als 3 Jahre, und der ehemalige Chef lebt jetzt in Russland.
Zum Beispiel wenn er Open Source "nicht nachhaltig" nennt und ignoriert, was wir alle mit Closed Source schon diverse Male erlebt haben:
- die Firma stellt das Produkt sang und klanglos ein. Warum auch immer.
- die Firma wird aufgekauft und stellt das Produkt ein, weil es nicht mehr "in die neue Strategie" passt
- die Firma geht bankrott
- ... oder verdreifacht den Preis
- die Firma führt einen Cloud-Zwang ein, den man nicht will.
- das Produkt wird mit vier anderen Produkten zu einem "Paket" verwoben, und man muss entweder alles nehmen, oder nichts.
- Seit Neuestem glaubt die Firma, dass Software zu kaufen "irgendwie Mittelalter" sei. Deshalb gibt es die Produkte ab sofort nur noch "im Abo".
Diese sieben Punkte sind das Gegenteil von "nachhaltig".
Wenn ein Geheimdienst 3 Jahre Arbeit investiert, um einen Mann irgendwo einzuschleusen, schafft er das Gleiche auch bei Closed Source.
Mir wäre nicht bekannt, dass Microsofts Programmierer alle unter Langeweile litten und Beiträge eines Kollegen mit drei Jahren Betriebszugehörigkeit ablehnen würden (oder seine Arbeit großartig nachkontrollieren, wobei das, was er gemacht hat, schwer zu entdecken war).
Man denke mal an eine russische Geheimdienst-Operation namens Wirecard, mit 3,1 Milliarden Euro Schaden. Das lief deutlich länger als 3 Jahre, und der ehemalige Chef lebt jetzt in Russland.
Zuletzt bearbeitet:
Berniyh
Grand Admiral Special
- Mitglied seit
- 29.11.2005
- Beiträge
- 5.206
- Renomée
- 219
Ich denke den Punkt bzgl. "nachhaltig" hast du falsch verstanden.
Es geht darum, dass es nicht nachhaltig ist, wenn Open Source Projekte alleine stehengelassen werden, wie es im Falle von xz eben passiert ist.
Wenn ein Projekt, wie eben xz, ein wesentlicher Baustein im Fundament von Linux Distributionen, aber auch auf Windows, für Server, für das Internet, ist, dann ist es nicht nachhaltig, wenn man das verkümmern lässt, sondern man muss sich aktiv darum kümmern, dass es auch in Zukunft gepflegt wird.
Das ist auch kein Einzelfall, denn schon im Bereich von Javascript gab es ja vor nicht allzu langer Zeit auch so einen Fall mit core-js:
Alle nutzen es, aber (fast) keiner kümmert sich darum. Das ist mit "nicht nachhaltig" gemeint.
Dabei ist es im Prinzip auch erstmal völlig irrelevant, dass es sich um Open Source handelt. Aber Open Source ist eben typischerweise auch kostenlos und das verleitet zu so einer Vorgehensweise.
Es geht darum, dass es nicht nachhaltig ist, wenn Open Source Projekte alleine stehengelassen werden, wie es im Falle von xz eben passiert ist.
Wenn ein Projekt, wie eben xz, ein wesentlicher Baustein im Fundament von Linux Distributionen, aber auch auf Windows, für Server, für das Internet, ist, dann ist es nicht nachhaltig, wenn man das verkümmern lässt, sondern man muss sich aktiv darum kümmern, dass es auch in Zukunft gepflegt wird.
Das ist auch kein Einzelfall, denn schon im Bereich von Javascript gab es ja vor nicht allzu langer Zeit auch so einen Fall mit core-js:
Core-js has been downloaded 9B times. Its maintainer is broke and angry
The primary maintainer of an open source project, core-js that is on hundreds of millions of websites, says he may make it closed source.
www.thestack.technology
Alle nutzen es, aber (fast) keiner kümmert sich darum. Das ist mit "nicht nachhaltig" gemeint.
Dabei ist es im Prinzip auch erstmal völlig irrelevant, dass es sich um Open Source handelt. Aber Open Source ist eben typischerweise auch kostenlos und das verleitet zu so einer Vorgehensweise.
derDruide
Grand Admiral Special
- Mitglied seit
- 09.08.2004
- Beiträge
- 2.731
- Renomée
- 435
- Prozessor
- AMD Ryzen 3900X
- Mainboard
- Asus Strix B450-F Gaming
- Kühlung
- Noctua NH-C14
- Speicher
- 32 GB DDR4-3200 CL14 FlareX
- Grafikprozessor
- Radeon RX 590
- Display
- 31.5" Eizo FlexScan EV3285
- SSD
- Corsair MP510 2 TB, Samsung 970 Evo 512 GB
- HDD
- Seagate Ironwulf 6 TB
- Optisches Laufwerk
- Plextor PX-880SA
- Soundkarte
- Creative SoundblasterX AE-7
- Gehäuse
- Antec P280
- Netzteil
- be quiet! Straight Power E9 400W
- Maus
- Logitech Trackman Marble (Trackball)
- Betriebssystem
- openSUSE 15.2
- Webbrowser
- Firefox
- Internetanbindung
- ▼50 MBit ▲10 MBit
Die Debatte ist ja auch richtig und man kann gerne etwas ändern (z. B. auf EU-Ebene).
Viele Presseartikel stellen aber pauschal "Linux" und "Open Source" als "Problem" hin. Auch aus dem Heise-Artikel geht meines Erachtens nicht klar genug hervor, dass diese Gefahr prinzipiell besteht, bei jeder Art von Software. Sobald jemand bereit ist, etwas mehr Energie als sonst zu investieren.
Eine Konsequenz könnte auch sein, den ganzen Cloud-Hype mal zu überdenken (1x hacken = viele tausend Opfer gleichzeitig).
Viele Presseartikel stellen aber pauschal "Linux" und "Open Source" als "Problem" hin. Auch aus dem Heise-Artikel geht meines Erachtens nicht klar genug hervor, dass diese Gefahr prinzipiell besteht, bei jeder Art von Software. Sobald jemand bereit ist, etwas mehr Energie als sonst zu investieren.
Eine Konsequenz könnte auch sein, den ganzen Cloud-Hype mal zu überdenken (1x hacken = viele tausend Opfer gleichzeitig).
Zuletzt bearbeitet:
Ähnliche Themen
- Antworten
- 3
- Aufrufe
- 465
- Antworten
- 0
- Aufrufe
- 386
- Antworten
- 0
- Aufrufe
- 105
- Antworten
- 9
- Aufrufe
- 2K
- Antworten
- 77
- Aufrufe
- 10K