Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen

  • Falls ihr Admins Ostern noch nichts vorhabt...

    Hier etwas Lese-/Guckstoff:

    • https://www.heise.de/news/Hintertue…en-9671317.html
    • External Content www.youtube.com
      Content embedded from external sources will not be displayed without your consent.
      Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.
      Low Level Learning: malicious backdoor found in ssh libraries


    Trotzdem Frohe Ostern!


    Nachtrag: Ich bin auch Admin, lese selber gerade wie doof...

    Edited once, last by simonz: Bin auch Admin... (April 2, 2024 at 1:37 PM).

  • Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen? Schau mal ob du hier fündig wirst!

  • Und mal zu sehen, wie leicht etwas eingeschleust werden kann.

    "Leicht" würde ich es nicht nennen, weil es hat ja schon ziemlich lange gedauert und es war ja ziemlich offensichtlich von langer Hand geplant (und, meine Vermutung, finanziert), die Backdoor in xz einzubauen.

    Es ist halt ein neuer Level von Angriff auf Infrastruktur. IMHO ist es so oder so für den Raspi kein Problem, weil sich behaupte ich mal, die Akteure nicht für meinen oder deinen Raspi interessieren, sondern Zugriff auf Linux Server haben wollten wo a) entweder wirklich was zu holen war oder b) deren Lahmlegung / Sabotage für Infrastruktur $FOO oder Lebensbereich $BAR wirklich kritisch wäre.

    Gruß, noisefloor

  • Noch mal ein Link zum Thema


    Wie die Computerwelt gerade haarscharf an einer Sicherheitskatastrophe vorbeigeschrammt ist
    Nur durch Benchmarks eines einzelnen Programmierers fliegt die über Jahre vorbereitete Unterwanderung von Millionen Systemen auf. Dahinter dürften staatliche…
    www.derstandard.de
  • Theoretisch ja, praktisch sind dafür die Release-Zyklen von Debian / Raspbian zu lahm / lang. Zumal die kein RR Model fahren.

    Die andere spannende Frage ist dann noch: laufen parallel noch mehr so Angriffe auf andere Bibliotheken?

    Gruß, noisefloor

    Na ja, in Debian testing und unstable war die Bibliothek schon drin. Sollte man dringend prüfen wenn man dies nutzt,
    Haarscharf am Stable vorbei....

    Offizieller Schmier und Schmutzfink des Forum.

  • Hallo,

    also nach meinem Wissen über den Debian Release Zyklus wäre die neue Version von xz doch erst mit dem kommenden Release von Debian über das "stable" Repo ausgerollt worden. Und Debian 13 Trixie ist für 2025 terminiert. Was ich nicht als "haarscharf" bezeichnen würde.

    Die stable Quellen für eine aktuellen Release erhalten AFAIK bei Debian keine Major- oder Minorversionssprünge, weil Debian kein Rolling Release Modell fährt.

    Gruß, noisefloor

  • [SECURITY] [DSA 5649-1] xz-utils security update (debian.org)

    Right now no Debian stable versions are known to be affected.
    Compromised packages were part of the Debian testing, unstable and
    experimental distributions, with versions ranging from 5.5.1alpha-0.1
    (uploaded on 2024-02-01), up to and including 5.6.1-1. The package has
    been reverted to use the upstream 5.4.5 code, which we have versioned
    5.6.1+really5.4.5-1.

    Users running Debian testing and unstable are urged to update the
    xz-utils packages.

    Offizieller Schmier und Schmutzfink des Forum.

  • Ziemlich interessant das ganze Thema und zugleich beängstigend, wie so etwas passieren konnte.

    simonz du hast mich gerade in ein Rabbithole von Videos geschickt, die diesen Vorfall gerade analysieren. :D

    Well in my humble opinion, of course without offending anyone who thinks differently from my point of view, but also by looking into this matter in a different way and without fighting and by trying to make it clear and by considering each and every one's opinion, I honestly believe that I completely forgot what I was going to say.

  • Aber selbst hier im - im Verhältnis zwar kleinen - Forum: Wenn nicht eine Person ( ps915) sich das ans Bein binden würde, gäb's das nicht.

    Also: Danke für Deine Arbeit, ps915 ! :danke_ATDE:

    + natürlich unsere Moderatoren <3

    Well in my humble opinion, of course without offending anyone who thinks differently from my point of view, but also by looking into this matter in a different way and without fighting and by trying to make it clear and by considering each and every one's opinion, I honestly believe that I completely forgot what I was going to say.

  • Hallo,

    Quote

    Es sind so irre viele One-Man-Shows...

    Das stimmt absolut, und teilweise sind das ja auch Freizeit One-Man Shows, d.h. nicht durch einen Arbeitgeber welcher Art auch immer finanziert.

    Was in dem Kontext auch immer mal wieder erwähnt wurde ist das Problem / Phänomen der Zersplitterung der Linux bzw. im allgemeinen OSS Entwickler. Es gibt halt X Projekte und davon nochmal Y Forks, die alle vor sich infuhrwerken. Paradebeispiel: der Linux Desktop. Aber auch im lzma Kontext passt dass, es gibt je mindestens 5-6 gängige Kompressionsalgorithmen, die zumindest ähnlich ist. Ja, Vielfalt ist gut und hilft IMHO bei Innovation und Fortschritt, aber andererseits macht es ab einem bestimmten Punkt, wenn ein OSS Projekte eine "kritische" Masse und Verbreitung erreicht hat, Sinn, Ressourcen zu bündeln - was ggf. auch damit einher geht, dass eigene Ego mal leicht zurückzustellen.

    Das heißt natürlich nicht, das Angriffe wie dieser dann nicht mehr stattfinden oder versucht werden - aber man hat zumindest nicht mehr uneingeschränkt frei Bahn, wenn man es schafft, den einzigen Entwickler abzudrängen.

    Gruß, noisefloor

  • Wie ist man sicher dass jemand der dann die Maintenance uebernimmt koscher ist und nicht unbemerkt solche Backdoors einbaut.

    Wie kann man jetzt schon sicher sein dass der/die Maintainer nicht zu irgendwelchen 3-4 Buchstaben Vereinen gehören und fleißig Backdoors einbauen ?
    Da nützt selbst das 4 Augen Prinzip nix wenn die beide zum gleichen Verein gehören.
    Hier ist es ja auch nur einem User aufgefallen und Komplett an der OSS Community vorbei gegangen.

    Das ganze Internet ist halt kaputt und als kompromittiert anzusehen. Halbwegs Sicher bist du eh nur noch wenn du deine Insel Offline betreibst.

    Offizieller Schmier und Schmutzfink des Forum.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!