xz 5.6.x wurde kompromittiert
xz 5.6.x wurde kompromittiert
https://lwn.net/ml/oss-security/2024032 ... arazel.de/
Betroffen sind testing und neuer, ein aktuelleres Paket ist bereits veröffentlicht.
Auch interessant ist die Diskussion auf Hackernews: https://news.ycombinator.com/item?id=39865810
Relatiert:
- 1067708 (der Upload durch die Sockenpuppe, nicht nur bei debian, sondern auch an vielen anderen Stellen - andere Distris und Github-Projekte)
- Zusammenfassung: https://gist.github.com/thesamesam/2239 ... 78baad9e27
- Eine Analyse: https://boehs.org/node/everything-i-kno ... z-backdoor
Betroffen sind testing und neuer, ein aktuelleres Paket ist bereits veröffentlicht.
Auch interessant ist die Diskussion auf Hackernews: https://news.ycombinator.com/item?id=39865810
Relatiert:
- 1067708 (der Upload durch die Sockenpuppe, nicht nur bei debian, sondern auch an vielen anderen Stellen - andere Distris und Github-Projekte)
- Zusammenfassung: https://gist.github.com/thesamesam/2239 ... 78baad9e27
- Eine Analyse: https://boehs.org/node/everything-i-kno ... z-backdoor
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: xz 5.6.x wurde kompromittiert
Autsch! Hoffentlich bleibt Bookworm sauber.
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
Re: xz 5.6.x wurde kompromittiert
Uff. Ziemlich beeindruckend was da für Aufwand rein gesteckt wurde. Der hat ja mit bestimmt einem dutzend Projekten aktiv kommuniziert um seine Lücke zu verstecken oder ausreden für Obskures Verhalten zu finden. (Debian, RedHat, gcc, Fedora, Google, Gentoo.) Offensichtlich absolut keine Skrupel.
Btw: Schlägt wohl absichtlich nur zu wenn der distro-SSH als systemd-Service läuft um nicht erwischt zu werden. Gut, dass sich da jemand drüber aufgeregt hat, dass sein ssh ca. eine halbe Sekunde länger zum starten braucht.
Btw: Schlägt wohl absichtlich nur zu wenn der distro-SSH als systemd-Service läuft um nicht erwischt zu werden. Gut, dass sich da jemand drüber aufgeregt hat, dass sein ssh ca. eine halbe Sekunde länger zum starten braucht.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: xz 5.6.x wurde kompromittiert
Auf meiner Trixie-Kiste wurde die kompromitierte liblzma am 5.3.24 eingespielt. Ich hatte mich auch schon über die Verzögerung beim Login via SSH gewundert.
Heute wurde die hoffentlich saubere Version eingespielt. Die Verzögerung von SSH ist jetzt weg.
Heise hat inzwischen auch einen Artikel:
https://www.heise.de/news/Hintertuer-in ... 71317.html
Die genaue Funktion der Hintertür ist bisher nicht bekannt. Mal sehen, was sich im Laufe der nächsten Tage an Erkenntnissen ergibt und ob durch die Kompromitierung noch weiterer Schaden, z.B. in Form von "versteckten" Programmen, angerichtet wurde.
Heute wurde die hoffentlich saubere Version eingespielt. Die Verzögerung von SSH ist jetzt weg.
Heise hat inzwischen auch einen Artikel:
https://www.heise.de/news/Hintertuer-in ... 71317.html
Die genaue Funktion der Hintertür ist bisher nicht bekannt. Mal sehen, was sich im Laufe der nächsten Tage an Erkenntnissen ergibt und ob durch die Kompromitierung noch weiterer Schaden, z.B. in Form von "versteckten" Programmen, angerichtet wurde.
- schorsch_76
- Beiträge: 2601
- Registriert: 06.11.2007 16:00:42
- Lizenz eigener Beiträge: MIT Lizenz
Re: xz 5.6.x wurde kompromittiert
Das ist ja mein faules Osterei
Re: xz 5.6.x wurde kompromittiert
Quelle: https://www.heise.de/news/Hintertuer-in ... 71317.html
https://raw.githubusercontent.com/cyclo ... -detect.shDer Finder der Hintertür hat ein Bash-Skript geschrieben, um eine potentiell anfällige liblzma-Version auf dem eigenen System zu finden.
gruß
michaa7
-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)
michaa7
-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)
Re: xz 5.6.x wurde kompromittiert
Devuan ist scheinbar besser dran:
"Devuan is not affected by the latest vulnerability caused by systemd. The malicious backdoor in xz/liblzma is a vector for remote exploitation of the ssh daemon due to a dependency on systemd for notifications and due to systemd's call to dlopen() liblzma library (CVE-2024-3094)"
https://toot.community/@devuan/112185687582188156
"Devuan is not affected by the latest vulnerability caused by systemd. The malicious backdoor in xz/liblzma is a vector for remote exploitation of the ssh daemon due to a dependency on systemd for notifications and due to systemd's call to dlopen() liblzma library (CVE-2024-3094)"
https://toot.community/@devuan/112185687582188156
Re: xz 5.6.x wurde kompromittiert
Uff Die Medldung ist aber stark irreführend. Der Code bricht die Ausführung absichtlich ab, wenn er nicht in Umgebungen ausgeführt wird, die nicht nach systemd/sshd aussehen, um zu verhindern, durch debugging entdeckt zu werden.Devuan is not affected by the latest vulnerability caused by systemd.
Man kann zwar sagen, dass der sshd unter devuan tatsächlich keine Abhängigkeit nach xz hat. Aber natürlich hängt das trotzdem an zig anderen Stellen im System, an denen der Angreifer genau so hätte zuschlagen können. (z.B. im initramfs beim boot.)
rot: Moderator wanne spricht, default: User wanne spricht.
Re: xz 5.6.x wurde kompromittiert
Das scheint ja eine ganz üble Sache zu sein. Ich bin gespannt, wie das weiter geht. Leider fehlen mit alle Fähigkeiten solche Dinge tatsächlich zu verstehen.wanne hat geschrieben:31.03.2024 10:38:13... um zu verhindern, durch debugging entdeckt zu werden ...
- Livingston
- Beiträge: 1816
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: xz 5.6.x wurde kompromittiert
Es gibt schlimmeres. Zum einen wurde es ja dank eines aufmerksamen Users gerade noch rechtzeitig entdeckt. Zum anderen sind (zumindest in Debian) nur testing und unstable betroffen. In den seltensten Fällen nutzt man diese Releases für öffentlich zugängliche und produktive Server.
Zugegeben: sshd kommt auch im Privatbereich zum Zuge, und natürlich gibt es da auch eine Menge Leute, die testing und unstable auf sensible Daten loslassen. Man sollte dieses aktuelle Ereignis zum Anlass nehmen, sich über Sicherheitskonzepte Gedanken zu machen.
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
- Stefan
- Beiträge: 1436
- Registriert: 08.09.2002 14:31:59
- Lizenz eigener Beiträge: GNU General Public License
Re: xz 5.6.x wurde kompromittiert
Hallo zusammen,
eine Aufarbeitung sollte schon stattfinden.
Wer hat die Möglichkeiten und die Intressen an solchen Attacken.
Auch das ein Aufmerksamer User das gefunden hat ist zwar lobenswert, für das Thema Sichrheit ist das aber nicht der beste Weg und wird aus meiner Sicht Linux netgativ belasteten.
eine Aufarbeitung sollte schon stattfinden.
Wer hat die Möglichkeiten und die Intressen an solchen Attacken.
Auch das ein Aufmerksamer User das gefunden hat ist zwar lobenswert, für das Thema Sichrheit ist das aber nicht der beste Weg und wird aus meiner Sicht Linux netgativ belasteten.
Ein Betriebssystem sie zu knechten, sie alle zu finden, Ins Dunkle zu treiben und ewig zu binden, Im Lande Microsoft wo die Schatten drohen.
Debian 7 3.2.0-4 64 - MSI nVidia GeForce 7600 GS - 8 DDR2 SDRAM 800 MHz Quad-CoreIntel Xeon : 2,67 GHz - Gigabyte GA-EP45-DS3 - 256GB SSD 840 Pro Gnome 3
Debian 7 3.2.0-4 64 - MSI nVidia GeForce 7600 GS - 8 DDR2 SDRAM 800 MHz Quad-CoreIntel Xeon : 2,67 GHz - Gigabyte GA-EP45-DS3 - 256GB SSD 840 Pro Gnome 3
Re: xz 5.6.x wurde kompromittiert
Ansichtssache. Linux hat damit eher nichts zu tun, eher ist’s das Open-Source-Prinzip. Und da würde ich es es nicht als negativ sehen, sondern darauf verweisen, dass man sowas in Closed-Source-Software nie gefunden hätte, bzw. es dort ungleich einfacher für einen entsprechenden Angreifer wäre: die ganze Zeit, den ausgeklügelten Plan – nichts davon hätte es dort gebraucht.Stefan hat geschrieben:31.03.2024 15:14:27für das Thema Sichrheit ist das aber nicht der beste Weg und wird aus meiner Sicht Linux netgativ belasteten.
„I fought in the Vim-Emacs-War.“ Quelle
Re: xz 5.6.x wurde kompromittiert
Wieso sollte es das?Stefan hat geschrieben:31.03.2024 15:14:27... und wird aus meiner Sicht Linux netgativ belasteten.
Das Gute an Linux ist, daß die Software grundsätzlich quelloffen ist und keiner längere Zeit so völlig unbemerkt da was "hineinbuddeln" kann. Und das ist durchaus "pro Sicherheit" zu werten.
- Livingston
- Beiträge: 1816
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: xz 5.6.x wurde kompromittiert
Die Details sind ein starkes Stück: Ein Projekt mit Busfaktor 1 wird ausdauernd mit Hilfe von Social Engeneering aufs Korn genommen und dann am Ende erlegt - so zumindest der Plan.
Die Herangehensweise ließe sich auch gegen einen einsamen, verlorenen Programmierer im Closed Source-Handwerk anwenden, indem man ihm freundlichst Hilfe anbietet und die hohe Arbeitslast abnimmt.
Die Art und Weise, wie das ganze gelaufen ist, schärft bei Open Source zumindest den Blick: Es wird der Finger auf die Wunde gelegt, dass es zahlreiche Projekte gibt, in der sich einzelne Leute den Allerwertesten bis zur Selbstaufgabe aufreißen. Die aktuelle Beihnahe-Katastrophe eröffnet Möglichkeiten, das Problem strukturiert anzugehen. Sehen wir es uns mal bei Debian an: dpkg läuft schon nicht mehr ohne die xz-utils. Das Problem lässt sich nicht mehr ignorieren. Insofern darf man hoffen, dass dieses spezielle Ereignis die Motivation erhöht, die Grundlast bei kritischen Projekten auf mehrere Köpfe zu verteilen.
Die Herangehensweise ließe sich auch gegen einen einsamen, verlorenen Programmierer im Closed Source-Handwerk anwenden, indem man ihm freundlichst Hilfe anbietet und die hohe Arbeitslast abnimmt.
Die Art und Weise, wie das ganze gelaufen ist, schärft bei Open Source zumindest den Blick: Es wird der Finger auf die Wunde gelegt, dass es zahlreiche Projekte gibt, in der sich einzelne Leute den Allerwertesten bis zur Selbstaufgabe aufreißen. Die aktuelle Beihnahe-Katastrophe eröffnet Möglichkeiten, das Problem strukturiert anzugehen. Sehen wir es uns mal bei Debian an: dpkg läuft schon nicht mehr ohne die xz-utils. Das Problem lässt sich nicht mehr ignorieren. Insofern darf man hoffen, dass dieses spezielle Ereignis die Motivation erhöht, die Grundlast bei kritischen Projekten auf mehrere Köpfe zu verteilen.
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
Re: xz 5.6.x wurde kompromittiert
Überraschend guter Artikel beim Standard: https://www.derstandard.at/story/300000 ... hrammt-ist
Hat mir besser gefallen als was viele Fachzeitschriften abgeliefert haben.
Hat mir besser gefallen als was viele Fachzeitschriften abgeliefert haben.
rot: Moderator wanne spricht, default: User wanne spricht.
- cosinus
- Beiträge: 4202
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: xz 5.6.x wurde kompromittiert
Hi in die Runde,
mir ist noch nicht ganz klar, was nun die Auswirkungen sind. Ich hab hier ja ein Debian/siduction. Da läuft auch sshd. Ist aber übers Internet nicht erreichbar und die Kiste wurde nach Bekanntwerden schon gepatcht, sprich das nicht trojanisierte liblzma ist seit gestern installiert.
Ist die Backdoor trotzdem aktiv weil sshd einmal mit der faulen Version lief oder brauchte es dafür einen Verbindungversuch von außen mit dem richtigen private Key?
mir ist noch nicht ganz klar, was nun die Auswirkungen sind. Ich hab hier ja ein Debian/siduction. Da läuft auch sshd. Ist aber übers Internet nicht erreichbar und die Kiste wurde nach Bekanntwerden schon gepatcht, sprich das nicht trojanisierte liblzma ist seit gestern installiert.
Ist die Backdoor trotzdem aktiv weil sshd einmal mit der faulen Version lief oder brauchte es dafür einen Verbindungversuch von außen mit dem richtigen private Key?
Re: xz 5.6.x wurde kompromittiert
So hatte ich das seither verstanden, mal sehen was noch kommt.cosinus hat geschrieben:31.03.2024 23:26:12[...] oder brauchte es dafür einen Verbindungversuch von außen mit dem richtigen private Key?
Vermutlich war das Ziel in Ubuntu 24.04 zu kommen und später eine große Nummer zu starten....
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
- cosinus
- Beiträge: 4202
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: xz 5.6.x wurde kompromittiert
So hatte ich das auch verstanden, war mir nur nicht ganz sicher. Mittlerweile schrieb mir auch einer bei heise.de und bestätigte deine und meine Vermutung siehe https://www.heise.de/forum/heise-online ... 9487/show/slu hat geschrieben:31.03.2024 23:42:15So hatte ich das seither verstanden, mal sehen was noch kommt.
Vermutlich war das Ziel in Ubuntu 24.04 zu kommen und später eine große Nummer zu starten....
_Yoyo_ aus dem Heiseforum (31.03.2024 23:36) hat geschrieben: Es muss erst einen Loginversuch mit dem passenden Payload gegeben haben. "Passend" hat hier die Bedeutung, dass nur der Autor der Hintertür einen solchen Payload generieren kann (kryptografisch signiert). Der Payload ist außerdem kryptografisch auf den Host-Key zugeschnitten, funktioniert also nur jeweils für einen einzigen Host (das Ziel-System).
Rein theoretisch könnte der Angreifer, da er bereits Pre-Auth root Rechte hat, das ssh-Log verfälschen und so selbst den SSH-Loginversuch und jegliche weiteren Aktivitäten "unsichtbar" machen... u.a. wegen dieser Ungewissheit baut u.a. Debian deren gesamte Build-Infrastruktur neu auf.
edit: Und nur zur Klarheit: liblzma zu aktualisieren reicht alleine nicht aus. Da die alte Version wahrscheinlich noch im Adressraum von openssh geladen ist, muss mindestens openssh neu gestartet werden, am besten natürlich die ganze Kiste.
Re: xz 5.6.x wurde kompromittiert
Das Problem könnte noch größer werden wenn man schaut wer commits in libarchive geliefert hat..
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
- cosinus
- Beiträge: 4202
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: xz 5.6.x wurde kompromittiert
Ich glaube nicht nur ich frage mich gerade, wieviele Hintertüren denn nicht gefunden wurden, die es aber in gängige Distris geschafft haben.
Das faule Ei in liblzma 5.6.x wurde ja nur zufällig gefunden weil da jemand ne Leideschaft für benchmarks hat
Re: xz 5.6.x wurde kompromittiert
Das fragen sich derzeit wirklich viele Leute …cosinus hat geschrieben:01.04.2024 00:08:58Ich glaube nicht nur ich frage mich gerade, wieviele Hintertüren denn nicht gefunden wurden, die es aber in gängige Distris geschafft haben.
„I fought in the Vim-Emacs-War.“ Quelle
- OrangeJuice
- Beiträge: 629
- Registriert: 12.06.2017 15:12:40
Re: xz 5.6.x wurde kompromittiert
Das hatten sie schon geschafft, allerdings nur die proposed-Quellen, die nicht ab Werk aktiviert sind.slu hat geschrieben:31.03.2024 23:42:15Vermutlich war das Ziel in Ubuntu 24.04 zu kommen und später eine große Nummer zu starten....
The affected version of xz-utils was only in noble-proposed, and
was removed before migrating to noble itself. No released
versions of Ubuntu were affected by this issue. Quelle
- schorsch_76
- Beiträge: 2601
- Registriert: 06.11.2007 16:00:42
- Lizenz eigener Beiträge: MIT Lizenz
Re: xz 5.6.x wurde kompromittiert
Ich frage mich ja gerade, warum libsystemd libarchive/liblzma lädt. Laut man Page deutet libsystemd/bzw. der Patch für systemd-notify eigentlich nicht in die Richtung Kompression. Welches Feature von systemd nutzt Kompression?
https://github.com/openssh/openssh-portable/pull/375
https://www.man7.org/linux/man-pages/ma ... emd.3.html
Edit: Auch eine gute Feststellung:
https://news.ycombinator.com/item?id=39878181
https://github.com/openssh/openssh-portable/pull/375
https://www.man7.org/linux/man-pages/ma ... emd.3.html
Edit: Auch eine gute Feststellung:
https://news.ycombinator.com/item?id=39878181
It's not pulled in on any sysvinit Debian system I run. It is on stable, oldstable, and oldoldstable systems via systemd.
- OrangeJuice
- Beiträge: 629
- Registriert: 12.06.2017 15:12:40
Re: xz 5.6.x wurde kompromittiert
Da war doch was mit NPM...cosinus hat geschrieben:01.04.2024 00:08:58Ich glaube nicht nur ich frage mich gerade, wieviele Hintertüren denn nicht gefunden wurden, die es aber in gängige Distris geschafft haben.
Paketmanager npm: Entwickler macht eigene Packages unbrauchbar