xz 5.6.x wurde kompromittiert

Alles rund um sicherheitsrelevante Fragen und Probleme.
katzenfan
Beiträge: 645
Registriert: 19.04.2008 22:59:51

Re: xz 5.6.x wurde kompromittiert

Beitrag von katzenfan » 01.04.2024 12:06:26

Livingston hat geschrieben: ↑ zum Beitrag ↑
31.03.2024 19:01:33
die Grundlast bei kritischen Projekten auf mehrere Köpfe zu verteilen.
Sollte das nicht überall gelten, daß Kritisches nicht einer alleine verantwortet, bzw., zu stemmen hat?

Benutzeravatar
TRex
Moderator
Beiträge: 8325
Registriert: 23.11.2006 12:23:54
Wohnort: KA

Re: xz 5.6.x wurde kompromittiert

Beitrag von TRex » 01.04.2024 12:56:25

katzenfan hat geschrieben: ↑ zum Beitrag ↑
01.04.2024 12:06:26
Sollte das nicht überall gelten, daß Kritisches nicht einer alleine verantwortet, bzw., zu stemmen hat?
Hast du dich gerade freiwillig gemeldet?
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

reox
Beiträge: 2529
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: xz 5.6.x wurde kompromittiert

Beitrag von reox » 01.04.2024 14:14:37

schorsch_76 hat geschrieben: ↑ zum Beitrag ↑
01.04.2024 08:07:17
Ich frage mich ja gerade, warum libsystemd libarchive/liblzma lädt. Laut man Page deutet libsystemd/bzw. der Patch für systemd-notify eigentlich nicht in die Richtung Kompression. Welches Feature von systemd nutzt Kompression?

https://github.com/openssh/openssh-portable/pull/375
https://www.man7.org/linux/man-pages/ma ... emd.3.html
Das ist eine gute Frage - aber irgendwo wird's wohl mal gebraucht werden können... Allerdings wurde in dem OpenSSH PR auch angemerkt, dass
https://news.ycombinator.com/item?id=39867126 hat geschrieben:Libselinux pulls in liblzma too and gets linked into tons more programs than libsystemd. And will end up in sshd too (at the very least via libpam/pam_selinux). And most of the really big distros tend do support selinux at least to some level. Hence systemd or not, sshd remains vulnerable by this specific attack.

MaGe
Beiträge: 1798
Registriert: 01.06.2014 17:12:16

Re: xz 5.6.x wurde kompromittiert

Beitrag von MaGe » 01.04.2024 14:23:25

cosinus hat geschrieben: Ich glaube nicht nur ich frage mich gerade, wieviele Hintertüren denn nicht gefunden wurden, die es aber in gängige Distris geschafft haben.

Kuks du hier.

https://forum.siduction.org/index.php?t ... 0#msg74080




gruss MaGe
Wir müssen uns vor der Klimaerwärmung nicht fürchten.
Uns rottet die soziale Kälte viel früher aus.

katzenfan
Beiträge: 645
Registriert: 19.04.2008 22:59:51

Re: xz 5.6.x wurde kompromittiert

Beitrag von katzenfan » 01.04.2024 17:53:23

TRex hat geschrieben: ↑ zum Beitrag ↑
01.04.2024 12:56:25
Hast du dich gerade freiwillig gemeldet?
Es sollten doch wohl Leute sein, die Ahnung haben?

Benutzeravatar
TRex
Moderator
Beiträge: 8325
Registriert: 23.11.2006 12:23:54
Wohnort: KA

Re: xz 5.6.x wurde kompromittiert

Beitrag von TRex » 01.04.2024 19:56:54

Nicht genug (und Leute, die Ahnung haben, haben meist auch ausreichend viel zu tun).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 03.04.2024 09:30:39


Benutzeravatar
mig
Beiträge: 152
Registriert: 26.02.2003 13:21:58
Wohnort: wien
Kontaktdaten:

Re: xz 5.6.x wurde kompromittiert

Beitrag von mig » 03.04.2024 15:36:10

Falls wer der Blogeintrag von Bruce Schneier dazu lesen möchte
https://www.schneier.com/blog/archives/ ... kdoor.html

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 04.04.2024 13:03:49

Vielleicht interessiert das auch jemanden:
Das ist der verrückteste Angriff»: Ein Programmierer entdeckt per Zufall eine gefährliche Hintertüre im Code – wohl von einem Geheimdienst
Die Schadsoftware war das Resultat einer jahrelangen Geheimaktion. In den nächsten Wochen hätte sie sich auf Internetservern weltweit verbreitet.
...
Was der Software-Entwickler Andreas Freund vor wenigen Tagen entdeckt hat, war dafür gemacht, niemals entdeckt zu werden ...
https://www.nzz.ch/technologie/xz-lueck ... ld.1824766

Benutzeravatar
MSfree
Beiträge: 11605
Registriert: 25.09.2007 19:59:30

Re: xz 5.6.x wurde kompromittiert

Beitrag von MSfree » 04.04.2024 13:29:33

Virya hat geschrieben: ↑ zum Beitrag ↑
04.04.2024 13:03:49
Vielleicht interessiert das auch jemanden:
Was der Software-Entwickler Andreas Freund vor wenigen Tagen entdeckt hat, war dafür gemacht, niemals entdeckt zu werden ...
Nunja, dafür war die Backdoor dann doch zu diletantisch. Nicht nur mir (siehe weiter oben) ist aufgefallen, daß ein SSH-Login von einem infizierten Trixie-Rechner auf ein nicht infiziertes Bookwormsystem, plötzlich länger dauert. Wenn man nicht gerade die die lahmsten Single-Core Raspberries nimmt, um sich über SSH anzumelden, ist die Zeit zwischen der Betätigung der Entertaste zum Absetzen des SSH-Befehls und dem Passwort/Passphrase-Prompt praktisch Null, mit dem infizierten Trixie hat es plötzlich rund eine halbe Sekunde gedauert. Ich hatte das zunächst mit abgeschalteter Optimierung beim Compilieren abgetan und nicht weiter verdächtig gefunden, es ist halt Testing, wo das vorkommen kann.

Früher oder später hätte das aber jemand als Bugreport gemeldet. Andreas Freund hat uns allerdings den großen Gefallen getan, und hat es selbst analysiert und öffentlich gemacht.

niemand
Beiträge: 749
Registriert: 22.12.2023 16:35:53
Kontaktdaten:

Re: xz 5.6.x wurde kompromittiert

Beitrag von niemand » 04.04.2024 14:07:05

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.04.2024 13:29:33
Nunja, dafür war die Backdoor dann doch zu diletantisch.
Interessante Sichtweise. Weißt du denn, warum genau diese Verzögerung vorhanden ist, wodurch sie also verursacht wurde?

Wenn ich mir den Rest des Konstrukts angucke, wo Code wie versteckt und von da wieder vorgeholt wurde, wie die Bedingungen ausgewertet wurden, wieviel Zeit dort investiert wurde, etc., dann halte ich ohne diese Info erstmal ein „ging unter den Bedingungen halt nicht besser“ für die wahrscheinlichere Erklärung.
„I fought in the Vim-Emacs-War.“ Quelle

Benutzeravatar
MSfree
Beiträge: 11605
Registriert: 25.09.2007 19:59:30

Re: xz 5.6.x wurde kompromittiert

Beitrag von MSfree » 04.04.2024 14:40:17

niemand hat geschrieben: ↑ zum Beitrag ↑
04.04.2024 14:07:05
Interessante Sichtweise. Weißt du denn, warum genau diese Verzögerung vorhanden ist, wodurch sie also verursacht wurde?
Das weiß ich natürlich nicht im Detail, nur das. was man sowieso nachlesen kann. Die erhöhte CPU-Last und die damit verbundene Verzögerung wurden aber auch von mir festgestellt. Und genau das ist es, was die Sache am Ende diletantisch macht. Das war eben doch zu auffällig um übersehen zu werden.

Benutzeravatar
Meillo
Moderator
Beiträge: 9241
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: xz 5.6.x wurde kompromittiert

Beitrag von Meillo » 04.04.2024 14:55:22

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.04.2024 14:40:17
Die erhöhte CPU-Last und die damit verbundene Verzögerung wurden aber auch von mir festgestellt. Und genau das ist es, was die Sache am Ende diletantisch macht. Das war eben doch zu auffällig um übersehen zu werden.
... so diletantisch wie jeder Zaubertrick: Es geht um das Aufmerksamkeitsmanagement, um Ablenkung, um Tauschung, um Denkrinnen, ...

Habt ihr euch den Diff angeschaut? https://git.tukaani.org/?p=xz.git;a=com ... 2c422d9ba7 So umfangreich ist der ja nicht. Den beschriebenen kleinen Bug habe ich darin auch nach mehrfachem Durchlesen nicht finden koennen. Selbst nachdem ich wusste, dass es sich nur um einen Punkt handelt, konnte ich diesen noch nicht entdecken, bis ich die Suchfunktion genutzt habe. ... weil er an einer Stelle ist, wo ich ihn nicht erwartet habe.

Du hast, wie sicher viele andere, die Zeitverzoegerung bemerkt, aber du hast dir nichts oder nicht genug oder nicht das richtige dabei gedacht. Ich finde, dass das durchaus als Erfolg und Koennen der Verschleierung zu werten ist. Der Entdecker hat ja auch geschrieben, wie viele Faktoren hatten zusammen kommen muessen, damit er genauer hingeschaut hat: https://mastodon.social/@AndresFreundTe ... 9178991535

Bei Freier Software muss die Manipulation -- wie bei guten Zaubertricks -- unter dem Blick von Zuschauern durchgefuehrt werden. Das muss man ueberhaupt erstmal hinbekommen. So diletantisch finde ich das also nicht ... bloss weil man es nun, rueckblickend, wo man es weiss, worauf man schauen muss, einfach zu sehen findet.


Nun gut, vielleicht unterliegen wir hier auch dem Survivor Bias und haben die ganzen nicht-diletantischen Backdoors bloss noch nicht entdeckt. :roll:
Use ed once in a while!

Benutzeravatar
Blue
Beiträge: 1550
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: xz 5.6.x wurde kompromittiert

Beitrag von Blue » 04.04.2024 15:41:32

Entscheidend ist für mich bei dem Thema, woher der ganze Dreck kommt und welchen Interessen er dient.
Investigative Jounalisten sollten in diesem Zusammenhang den Nobel-Preis erhalten und massiv gefördert werden.

ernohl
Beiträge: 1248
Registriert: 04.07.2002 08:11:56
Wohnort: HL

Re: xz 5.6.x wurde kompromittiert

Beitrag von ernohl » 04.04.2024 16:42:07

Meillo hat geschrieben: ↑ zum Beitrag ↑
04.04.2024 14:55:22
Bei Freier Software muss die Manipulation -- wie bei guten Zaubertricks -- unter dem Blick von Zuschauern durchgefuehrt werden. Das muss man ueberhaupt erstmal hinbekommen. So diletantisch finde ich das also nicht ... bloss weil man es nun, rueckblickend, wo man es weiss, worauf man schauen muss, einfach zu sehen findet.
:THX:
Genauso sehe ich das auch. Der/die Typ(en) waren Profis, aber das letzte Quäntchen Glück gepaart mit Zufall auf unserer Seite.

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 04.04.2024 17:06:18

Na super ... : "Microsoft-Entwickler rettet Millionen Rechner vor Computer-GAU"
Kann da jemand reinlesen? Ich hab kein Digital-Abo:
https://www.spiegel.de/netzwelt/web/hin ... dbbfe8c30c

reox
Beiträge: 2529
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: xz 5.6.x wurde kompromittiert

Beitrag von reox » 04.04.2024 17:11:55

Virya hat geschrieben: ↑ zum Beitrag ↑
04.04.2024 17:06:18
"Microsoft-Entwickler rettet Millionen Rechner vor Computer-GAU"
Der Oberwitz wäre ja wenn das eine jahrelang geplante PR Aktion war :twisted:
(Wobei der Code ja offenbar auch in Windows 11 gelandet ist oder so, hatte ich gelesen)

tobo
Beiträge: 2346
Registriert: 10.12.2008 10:51:41

Re: xz 5.6.x wurde kompromittiert

Beitrag von tobo » 04.04.2024 17:12:59

Nix, was man lesen muss:
https://archive.is/JPEH5

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 04.04.2024 17:15:05

tobo hat geschrieben: ↑ zum Beitrag ↑
04.04.2024 17:12:59
Nix, was man lesen muss:
https://archive.is/JPEH5
Cool :THX:

Benutzeravatar
Livingston
Beiträge: 1816
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: xz 5.6.x wurde kompromittiert

Beitrag von Livingston » 04.04.2024 17:16:07

tobo hat geschrieben: ↑ zum Beitrag ↑
04.04.2024 17:12:59
Nix, was man lesen muss...
Da der Spiegel schon seit 20 Jahren schwer FOKUSsiert ist, hat man sich auch dort angewöhnt, zu allem seinen Senf abzulassen, selbst wenn das "aktuelle" Ereignis schon eine Woche zurückliegt.
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams

tobo
Beiträge: 2346
Registriert: 10.12.2008 10:51:41

Re: xz 5.6.x wurde kompromittiert

Beitrag von tobo » 04.04.2024 17:22:49

Spiegel ist zwar bestimmt noch immer nicht auf Focus-Niveau, aber inhaltlich gibt der Beitrag ja trotzdem nichts her. Hier im Thread gibt es Links, die sind informativ deutlich ergiebiger...

Benutzeravatar
heisenberg
Beiträge: 4123
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: xz 5.6.x wurde kompromittiert

Beitrag von heisenberg » 04.04.2024 20:14:54

reox hat geschrieben: ↑ zum Beitrag ↑
04.04.2024 17:11:55
Der Oberwitz wäre ja wenn das eine jahrelang geplante PR Aktion war :twisted:
Na so teuer dürfte die Aktion jetzt doch nicht gewesen sein. 50K oder 100K für sowas. Im Marketing sind dass doch Peanuts.
(Wobei der Code ja offenbar auch in Windows 11 gelandet ist oder so, hatte ich gelesen)
Sehr gut: Plausible Deniability!

Benutzeravatar
Livingston
Beiträge: 1816
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: xz 5.6.x wurde kompromittiert

Beitrag von Livingston » 04.04.2024 23:12:08

heisenberg hat geschrieben: ↑ zum Beitrag ↑
04.04.2024 20:14:54
Sehr gut: Plausible Deniability!
8O
...
:!:
...
:mrgreen:
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams

Benutzeravatar
Emess
Beiträge: 3765
Registriert: 07.11.2006 15:02:26
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Im schönen Odenwald
Kontaktdaten:

Microsoft-Ingenieur als Held gefeiert- Internet ist gerettet

Beitrag von Emess » 05.04.2024 14:48:11

https://www.bild.de/news/ausland/news-a ... .bild.html
Was sagt man den dazu?


Edit JTH: Aus zweitem eröffneten Thema hierher verschoben.
Zuletzt geändert von JTH am 05.04.2024 20:19:23, insgesamt 1-mal geändert.
Grund: Aus zweitem eröffneten Thema hierher verschoben
Debian Testing (bleibt es auch)
Debian Bookworm KDE Plasma 5x Kernel 6.1.0-21-amd64 (64-bit)
Notebook HP ZBook 17 G2
Quadro K3100M/PCIe/SSE2

http://www.emess62.de

Benutzeravatar
4A4B
Beiträge: 962
Registriert: 09.11.2011 11:19:55
Kontaktdaten:

Re: Microsoft-Ingenieur als Held gefeiert- Internet ist gerettet

Beitrag von 4A4B » 05.04.2024 14:57:54

Das Thema wurde hier schon besprochen:

viewtopic.php?t=189442

Antworten