Damit fällt systemd als Angriffsvektor aus.
xz 5.6.x wurde kompromittiert
- Livingston
- Beiträge: 1816
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: xz 5.6.x wurde kompromittiert
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
Re: xz 5.6.x wurde kompromittiert
Ich will kein Fass aufmachen, die Zusammenhänge aber schon mehr verstehen. Wird systemd als Angriffsvektor gesehen?
Re: xz 5.6.x wurde kompromittiert
openssh enthält xz nur in Distributionen mit systemd (weil openssh da Benachrichtigungen über den Bus schickt oder sowas, hab die Details nicht im Kopf).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
- berlinerbaer
- Beiträge: 3339
- Registriert: 28.04.2003 01:29:55
- Wohnort: Sachsen, Krabatregion
Re: xz 5.6.x wurde kompromittiert
Ich verstehe von dem ganzen Fachchinesisch so gut wie gar nichts, deshalb muss ich meine Frage nochmal einfacher stellen:
sind Apple-Computer nun ebenso genauso angreifbar ?
Bei uns steigen viele Schulen besonders private auf MacOs, iPhone und iPad um. Die Eltern der Schüler wollten es so, und scheuen auch nicht die relativ hohen Kosten
sind Apple-Computer nun ebenso genauso angreifbar ?
Bei uns steigen viele Schulen besonders private auf MacOs, iPhone und iPad um. Die Eltern der Schüler wollten es so, und scheuen auch nicht die relativ hohen Kosten
Gruß
vom Bären
Endlich in Rente! Nur weg aus dem Irrenhaus.
vom Bären
Endlich in Rente! Nur weg aus dem Irrenhaus.
Re: xz 5.6.x wurde kompromittiert
xz-utils sind in Devuan stable (bekanntlich ohne systemd) enthalten. Dieses Paket stellt die Kommandozeilenwerkzeuge zur Arbeit mit dem XZ-TRex hat geschrieben:11.04.2024 07:29:52openssh enthält xz nur in Distributionen mit systemd (weil openssh da Benachrichtigungen über den Bus schickt oder sowas, hab die Details nicht im Kopf).
Format bereit, u.A. xz, unxz, xzcat, xzgrep usw.
openssh-client, openssh-server, openssh-sftp-server etc. sind auch in Devuan vorhanden. Mit Ssh können X11-Verbindungen und beliebige TCP/IP-Ports weitergeleitet werden.
Mir fehlt leider das Verständnis der Zusammenhänge, aber ich überlege, welche Rolle X11 und systemd bei der Angelegenheit spielen.
Bringt Wayland mehr Sicherheit? Bringen systemd-freie Systeme mehr Sicherheit?
Re: xz 5.6.x wurde kompromittiert
Auch wenn ich es mir anders wünschte, aber wir sind hier nicht bei "Wünsch Dir was". Sicherheit ist eine Illusion. Die dieses Einschleusen verursacht haben, waren Profis. Die werden es auf anderem Wege wieder versuchen. Es wird ein ewiger Kampf zwischen Angriff und Abwehr bleiben. Da bin ich mir ziemlich sicher.
Gruß ralli
Gruß ralli
Wer nicht lieben kann, muß hassen. Wer nicht aufbauen kann muß zerstören. Wer keine Brücken baut, muß spalten.
Re: xz 5.6.x wurde kompromittiert
Ich kann es nicht beurteilen, aber Dr. Datenschutz ist immer eine gute Anlaufstelle für diese Fragen. Such doch mal bei denen: https://www.dr-datenschutz.de/apple-iph ... marketing/berlinerbaer hat geschrieben:11.04.2024 07:59:49... sind Apple-Computer nun ebenso genauso angreifbar ? ...
Re: xz 5.6.x wurde kompromittiert
Exakt! Deshalb machen wir uns ja auch Gedanken darüber. Es ist sicher unbestritten, dass manche Systeme bzw. Konfigurationen mehr, andere weniger einladend sind, um es es auf anderem Wege wieder zu versuchen.
Re: xz 5.6.x wurde kompromittiert
Debian Stable war nie betroffen. Die Backdoor ist gefunden worden, solange die xz-Version noch in unstable/testing war.
Bei Fedora bin ich mir nicht sicher, welcher Zweig der Distribution dort betroffen war.
MacOS ist nicht betroffen, wenn die Backdoor nur in Verbindung mit Systemd aktiv ist.
Inzwischen haben ja alle schon reagiert und die kompromitierte xz-Version entfernt/ersetzt. Darum ist *jetzt* kein neu aktualisiertes System mehr betroffen. Es sind auch nicht die Systeme betroffen, die laenger nicht aktualisiert waren.
Betroffen ist ueberhaupt nur wer die kompromitierte Version von xz auf dem System hat und zugleich die Voraussetzungen erfuellt, dass sich die Backdoor aktiviert, AFAIK ein OpenSSH-Server + Systemd. Wenn eines davon nicht zutrifft, dann wird die Backdoor nicht aktiviert. -- Soweit jedenfalls mein momentanes Verstaendnis.
Bei Fedora bin ich mir nicht sicher, welcher Zweig der Distribution dort betroffen war.
MacOS ist nicht betroffen, wenn die Backdoor nur in Verbindung mit Systemd aktiv ist.
Inzwischen haben ja alle schon reagiert und die kompromitierte xz-Version entfernt/ersetzt. Darum ist *jetzt* kein neu aktualisiertes System mehr betroffen. Es sind auch nicht die Systeme betroffen, die laenger nicht aktualisiert waren.
Betroffen ist ueberhaupt nur wer die kompromitierte Version von xz auf dem System hat und zugleich die Voraussetzungen erfuellt, dass sich die Backdoor aktiviert, AFAIK ein OpenSSH-Server + Systemd. Wenn eines davon nicht zutrifft, dann wird die Backdoor nicht aktiviert. -- Soweit jedenfalls mein momentanes Verstaendnis.
Use ed once in a while!
Re: xz 5.6.x wurde kompromittiert
Siehst du, ich habe gerade bei mir nachgesehen und festgestellt, dass der OpenSSH-Server installiert ist. Ich weiß nicht, für was ich den brauche. Jedenfalls habe ich ihn einfach einmal wagemutig deinstalliert. So kann doch ein System auch wahrscheinlich etwas sicherer gemacht werden.
- berlinerbaer
- Beiträge: 3339
- Registriert: 28.04.2003 01:29:55
- Wohnort: Sachsen, Krabatregion
Re: xz 5.6.x wurde kompromittiert
Habe ich auch gerade deinstalliert. System läuft noch, Homebanking auch. Also ohne openssh. Es sind noch paar kleine Sachen mit runter geflogen, ob da mal was fehlt, wird sich zeigen.
Gruß
vom Bären
Endlich in Rente! Nur weg aus dem Irrenhaus.
vom Bären
Endlich in Rente! Nur weg aus dem Irrenhaus.
Re: xz 5.6.x wurde kompromittiert
Jede Möglichkeit, sich interaktiv an einem System einloggen zu können, macht das System potentiell angreifbar. Wenn man also nicht die Möglichkeit braucht, sich über das Netz an einem Rechner einloggen zu können, reduziert man natürlich die Angriffsfläche, indem man solche Programme deinstalliert.Virya hat geschrieben:11.04.2024 09:09:45Siehst du, ich habe gerade bei mir nachgesehen und festgestellt, dass der OpenSSH-Server installiert ist. Ich weiß nicht, für was ich den brauche. Jedenfalls habe ich ihn einfach einmal wagemutig deinstalliert. So kann doch ein System auch wahrscheinlich etwas sicherer gemacht werden.
Dazu gehört aber nicht nur sshd sondern auch alle vncserver, alle rdpserver, telnetd, rlogind, X11 ... Zumindest sollte man solche Deinste so konfigurieren, daß sie nicht auf Anfragen aus dem Netz reagieren (X11 ist z.B. von Haus aus so konfiguriert, daß es nicht auf Netzanfragen reagiert sondern nur local auf 127.0.0.1 antwortet).
Bevor ich mir über SSH Sorgen mache, würde ich vor allem mal die Dinge abschalten, die unverschlüsselt durch das Netz transportiert werden, oder zumindest so konfigurieren, daß sie nur durch einen SSH/VPN-Tunnel erreichbar sind.
Ich schätze den sshd allerdings sehr und habe ihn auf praktisch allen Rechnern laufen, um mich auf den jeweiligen Rechner einloggen zu können. Ich habe auch gar nicht genug Tastaturen und Bildschirm, um mich an jedem meiner Rechner lokal anmelden zu können.
Re: xz 5.6.x wurde kompromittiert
So sehr relevant die Backdoor fuer die Entwicklungsstrukturen ist, so wenig relevant ist sie fuer Endanwendern.
Natuerlich ist es gut, nicht genutzte Dienste zu deinstallieren, zu deaktiveren oder sicher zu konfigurieren -- das ist generell sinnvoll; mit der xz-Backdoor hat das aber recht wenig zu tun.
Ich sehe keinen durch diese Backdoor noetigen Handlungsbedarf fuer Endanwender (die Stable-Versionen nutzen).
Natuerlich ist es gut, nicht genutzte Dienste zu deinstallieren, zu deaktiveren oder sicher zu konfigurieren -- das ist generell sinnvoll; mit der xz-Backdoor hat das aber recht wenig zu tun.
Ich sehe keinen durch diese Backdoor noetigen Handlungsbedarf fuer Endanwender (die Stable-Versionen nutzen).
Use ed once in a while!
Re: xz 5.6.x wurde kompromittiert
Ja, wenn man es braucht, braucht man es. Dann muss es auf dem Rechner bleiben. Aber Danke für den Tipp mit vncserver, alle rdpserver, telnetd, rlogind. Nichts davon ist auf meinem Rechner, den ich gerade verwende. X11 ist drauf, weil Xfce drauf ist, ich mag es sehr, weil ich so viele Jahre damit gut gearbeitet habe, aber meist, wie jetzt auch, verwende ich Plasma mit Wayland. Jedenfalls denke ich jetzt, dass mit vielen Installationen auch Dinge auf den Rechner kommen, die nicht gebraucht werden und die für Angriffe ausgenutzt werden können. Ich glaube, da wissen User wie ich, zu wenig Bescheid.MSfree hat geschrieben:11.04.2024 10:42:28... vncserver, alle rdpserver, telnetd, rlogind, X11 ...
Re: xz 5.6.x wurde kompromittiert
BTW: Nur installiert oder auch konfiguriert ( und lauschend)? Wenn lauschend, dann auch so, dass er aus dem Internet erreicht werden kann? Erstellt der sshd (... wenn als backdoor fungierend) auch dann eine Verbindung ins Internet her, wenn er lediglich installiert ist?Virya hat geschrieben:11.04.2024 09:09:45... festgestellt, dass der OpenSSH-Server installiert ist. Ich weiß nicht, für was ich den brauche. ...
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Re: xz 5.6.x wurde kompromittiert
Wenn man unter Debian den sshd mit
Code: Alles auswählen
apt-get install ssh-server
Re: xz 5.6.x wurde kompromittiert
Naja, wenn er nicht auf einem border device installiert ist, sondern hinter einerm Router oder wenn die default policy der INPUT chain auf DROP ist, ist er nicht (sofort) aus allen Netzen erreichbar. Es gibt aber auch Systeme, da ist er per default installiert aber sofort nach der Installation noch nicht aktiviert (d. h. er lauscht nicht).
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Re: xz 5.6.x wurde kompromittiert
Bei Debian mußte ich bisher bei Neuinstallationen den sshd explizit auswählen, sonst war der nicht installiert. Beim Raspberry Pi OS ist sshd zwar installiert, muß aber explizit mit raspi-config (oder systemctl) aktiviert werden.mat6937 hat geschrieben:11.04.2024 12:43:44Es gibt aber auch Systeme, da ist er per default installiert aber sofort nach der Installation noch nicht aktiviert (d. h. er lauscht nicht).
Re: xz 5.6.x wurde kompromittiert
Das Thema wurde heute auch im Radio („Computer und Kommunikation“ im DLF) behandelt:
https://podcast-mp3.dradio.de/podcast/2 ... kation-102
Gruß
Gregor
https://podcast-mp3.dradio.de/podcast/2 ... kation-102
Gruß
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])
Re: xz 5.6.x wurde kompromittiert
Wenn ich den Bericht mit dem tatsächlichen Sachverhalt vergleiche, bin ich zugegebenermaßen etwas enttäuscht. Verhältnismäßig viele überwiegend kleine Ungenauigkeiten und Detailfehler, obwohl sie einen „Experten“ zur Hand hatten.
Gut – nicht ganz so schlimm wie etwa die Berichterstattung etwa bei n-tv oder gar Springers Unterhaltungsblatt für Leseschwache, aber wie gesagt: in meinen Augen etwas enttäuschend.
Gut – nicht ganz so schlimm wie etwa die Berichterstattung etwa bei n-tv oder gar Springers Unterhaltungsblatt für Leseschwache, aber wie gesagt: in meinen Augen etwas enttäuschend.
„I fought in the Vim-Emacs-War.“ Quelle
Re: xz 5.6.x wurde kompromittiert
Für eine halbstündige Radiosendung, die auch noch andere interessante Themen behandelt, finde ich das schon ganz gut. Mir gefällt, dass eher grundsätzliche Implikationen/Probleme angesprochen werden, also das mit den nicht immer so gut funktionierenden Peer-Reviews z.B.niemand hat geschrieben:13.04.2024 20:16:10Wenn ich den Bericht mit dem tatsächlichen Sachverhalt vergleiche, bin ich zugegebenermaßen etwas enttäuscht. Verhältnismäßig viele überwiegend kleine Ungenauigkeiten und Detailfehler, obwohl sie einen „Experten“ zur Hand hatten.
Gut – nicht ganz so schlimm wie etwa die Berichterstattung etwa bei n-tv oder gar Springers Unterhaltungsblatt für Leseschwache, aber wie gesagt: in meinen Augen etwas enttäuschend.
Als Text zum Lesen kann diesbezügliche Information schon qua Medium umfangreicher sein und ins Detail gehen.
Gruß
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])
Re: xz 5.6.x wurde kompromittiert
Vom Umfang her war’s schon okay, von der Abdeckung auch. Ich meinte eher so Sachen wie „die […] Hintertür namens »xz«“, dass der sshd „zwei Dutzend Bibliotheken“ einbinden würde, die Behauptung, dass sämtliche Linuxserver mit ssh spätenstens im Spätsommer angreifbar gewesen wären, wenn man’s nicht gefunden hätte – so Kleinigkeiten halt, die mit etwas Sorgfalt nicht aufgetreten wären.GregorS hat geschrieben:13.04.2024 20:36:37Als Text zum Lesen kann diesbezügliche Information schon qua Medium umfangreicher sein und ins Detail gehen.
„I fought in the Vim-Emacs-War.“ Quelle
Re: xz 5.6.x wurde kompromittiert
Seriöse Berichterstattung gibt es kaum noch oder selten. Es wird erhöht, aufgebauscht und Ängste geschürt. So funktioniert es, wenn die Quote wichtig ist. Quote geht oft zu Lasten der inhaltlichen Qualität. Schade, aber die Realität.
Gruß ralli
Gruß ralli
Wer nicht lieben kann, muß hassen. Wer nicht aufbauen kann muß zerstören. Wer keine Brücken baut, muß spalten.
Re: xz 5.6.x wurde kompromittiert
Die notwendige Berichterstattung war zu Ende, als die ersten Analysen das Geschehene erfasst und erklärt haben. Was danach kam, war überwiegend kommerziell motiviert - es wurde schon alles gesagt, nur nicht von allen.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht