xz 5.6.x wurde kompromittiert

Alles rund um sicherheitsrelevante Fragen und Probleme.
Benutzeravatar
Livingston
Beiträge: 1816
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: xz 5.6.x wurde kompromittiert

Beitrag von Livingston » 10.04.2024 17:44:06

berlinerbaer hat geschrieben: ↑ zum Beitrag ↑
10.04.2024 17:38:45
Das MacOS ist doch sowas wie ein Unix, oder?
Damit fällt systemd als Angriffsvektor aus.
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 11.04.2024 07:25:14

Livingston hat geschrieben: ↑ zum Beitrag ↑
10.04.2024 17:44:06
Damit fällt systemd als Angriffsvektor aus. ...
Ich will kein Fass aufmachen, die Zusammenhänge aber schon mehr verstehen. Wird systemd als Angriffsvektor gesehen?

Benutzeravatar
TRex
Moderator
Beiträge: 8325
Registriert: 23.11.2006 12:23:54
Wohnort: KA

Re: xz 5.6.x wurde kompromittiert

Beitrag von TRex » 11.04.2024 07:29:52

openssh enthält xz nur in Distributionen mit systemd (weil openssh da Benachrichtigungen über den Bus schickt oder sowas, hab die Details nicht im Kopf).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Benutzeravatar
berlinerbaer
Beiträge: 3339
Registriert: 28.04.2003 01:29:55
Wohnort: Sachsen, Krabatregion

Re: xz 5.6.x wurde kompromittiert

Beitrag von berlinerbaer » 11.04.2024 07:59:49

Ich verstehe von dem ganzen Fachchinesisch so gut wie gar nichts, deshalb muss ich meine Frage nochmal einfacher stellen:
sind Apple-Computer nun ebenso genauso angreifbar ?
Bei uns steigen viele Schulen besonders private auf MacOs, iPhone und iPad um. Die Eltern der Schüler wollten es so, und scheuen auch nicht die relativ hohen Kosten
Gruß
vom Bären

Endlich in Rente! Nur weg aus dem Irrenhaus.

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 11.04.2024 08:08:26

TRex hat geschrieben: ↑ zum Beitrag ↑
11.04.2024 07:29:52
openssh enthält xz nur in Distributionen mit systemd (weil openssh da Benachrichtigungen über den Bus schickt oder sowas, hab die Details nicht im Kopf).
xz-utils sind in Devuan stable (bekanntlich ohne systemd) enthalten. Dieses Paket stellt die Kommandozeilenwerkzeuge zur Arbeit mit dem XZ-
Format bereit, u.A. xz, unxz, xzcat, xzgrep usw.
openssh-client, openssh-server, openssh-sftp-server etc. sind auch in Devuan vorhanden. Mit Ssh können X11-Verbindungen und beliebige TCP/IP-Ports weitergeleitet werden.
Mir fehlt leider das Verständnis der Zusammenhänge, aber ich überlege, welche Rolle X11 und systemd bei der Angelegenheit spielen.
Bringt Wayland mehr Sicherheit? Bringen systemd-freie Systeme mehr Sicherheit?

Benutzeravatar
ralli
Beiträge: 4380
Registriert: 02.03.2008 08:03:02

Re: xz 5.6.x wurde kompromittiert

Beitrag von ralli » 11.04.2024 08:23:09

Auch wenn ich es mir anders wünschte, aber wir sind hier nicht bei "Wünsch Dir was". Sicherheit ist eine Illusion. Die dieses Einschleusen verursacht haben, waren Profis. Die werden es auf anderem Wege wieder versuchen. Es wird ein ewiger Kampf zwischen Angriff und Abwehr bleiben. Da bin ich mir ziemlich sicher.

Gruß ralli
Wer nicht lieben kann, muß hassen. Wer nicht aufbauen kann muß zerstören. Wer keine Brücken baut, muß spalten.

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 11.04.2024 08:29:48

berlinerbaer hat geschrieben: ↑ zum Beitrag ↑
11.04.2024 07:59:49
... sind Apple-Computer nun ebenso genauso angreifbar ? ...
Ich kann es nicht beurteilen, aber Dr. Datenschutz ist immer eine gute Anlaufstelle für diese Fragen. Such doch mal bei denen: https://www.dr-datenschutz.de/apple-iph ... marketing/

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 11.04.2024 08:37:02

ralli hat geschrieben: ↑ zum Beitrag ↑
11.04.2024 08:23:09
... Die werden es auf anderem Wege wieder versuchen. ...
Exakt! Deshalb machen wir uns ja auch Gedanken darüber. Es ist sicher unbestritten, dass manche Systeme bzw. Konfigurationen mehr, andere weniger einladend sind, um es es auf anderem Wege wieder zu versuchen.

Benutzeravatar
Meillo
Moderator
Beiträge: 9241
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: xz 5.6.x wurde kompromittiert

Beitrag von Meillo » 11.04.2024 08:53:12

Debian Stable war nie betroffen. Die Backdoor ist gefunden worden, solange die xz-Version noch in unstable/testing war.

Bei Fedora bin ich mir nicht sicher, welcher Zweig der Distribution dort betroffen war.

MacOS ist nicht betroffen, wenn die Backdoor nur in Verbindung mit Systemd aktiv ist.

Inzwischen haben ja alle schon reagiert und die kompromitierte xz-Version entfernt/ersetzt. Darum ist *jetzt* kein neu aktualisiertes System mehr betroffen. Es sind auch nicht die Systeme betroffen, die laenger nicht aktualisiert waren.

Betroffen ist ueberhaupt nur wer die kompromitierte Version von xz auf dem System hat und zugleich die Voraussetzungen erfuellt, dass sich die Backdoor aktiviert, AFAIK ein OpenSSH-Server + Systemd. Wenn eines davon nicht zutrifft, dann wird die Backdoor nicht aktiviert. -- Soweit jedenfalls mein momentanes Verstaendnis.
Use ed once in a while!

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 11.04.2024 09:09:45

Meillo hat geschrieben: ↑ zum Beitrag ↑
11.04.2024 08:53:12
... OpenSSH-Server + Systemd. ...
Siehst du, ich habe gerade bei mir nachgesehen und festgestellt, dass der OpenSSH-Server installiert ist. Ich weiß nicht, für was ich den brauche. Jedenfalls habe ich ihn einfach einmal wagemutig deinstalliert. So kann doch ein System auch wahrscheinlich etwas sicherer gemacht werden.

Benutzeravatar
berlinerbaer
Beiträge: 3339
Registriert: 28.04.2003 01:29:55
Wohnort: Sachsen, Krabatregion

Re: xz 5.6.x wurde kompromittiert

Beitrag von berlinerbaer » 11.04.2024 10:41:48

Habe ich auch gerade deinstalliert. System läuft noch, Homebanking auch. Also ohne openssh. Es sind noch paar kleine Sachen mit runter geflogen, ob da mal was fehlt, wird sich zeigen.
Gruß
vom Bären

Endlich in Rente! Nur weg aus dem Irrenhaus.

Benutzeravatar
MSfree
Beiträge: 11605
Registriert: 25.09.2007 19:59:30

Re: xz 5.6.x wurde kompromittiert

Beitrag von MSfree » 11.04.2024 10:42:28

Virya hat geschrieben: ↑ zum Beitrag ↑
11.04.2024 09:09:45
Siehst du, ich habe gerade bei mir nachgesehen und festgestellt, dass der OpenSSH-Server installiert ist. Ich weiß nicht, für was ich den brauche. Jedenfalls habe ich ihn einfach einmal wagemutig deinstalliert. So kann doch ein System auch wahrscheinlich etwas sicherer gemacht werden.
Jede Möglichkeit, sich interaktiv an einem System einloggen zu können, macht das System potentiell angreifbar. Wenn man also nicht die Möglichkeit braucht, sich über das Netz an einem Rechner einloggen zu können, reduziert man natürlich die Angriffsfläche, indem man solche Programme deinstalliert.

Dazu gehört aber nicht nur sshd sondern auch alle vncserver, alle rdpserver, telnetd, rlogind, X11 ... Zumindest sollte man solche Deinste so konfigurieren, daß sie nicht auf Anfragen aus dem Netz reagieren (X11 ist z.B. von Haus aus so konfiguriert, daß es nicht auf Netzanfragen reagiert sondern nur local auf 127.0.0.1 antwortet).

Bevor ich mir über SSH Sorgen mache, würde ich vor allem mal die Dinge abschalten, die unverschlüsselt durch das Netz transportiert werden, oder zumindest so konfigurieren, daß sie nur durch einen SSH/VPN-Tunnel erreichbar sind.

Ich schätze den sshd allerdings sehr und habe ihn auf praktisch allen Rechnern laufen, um mich auf den jeweiligen Rechner einloggen zu können. Ich habe auch gar nicht genug Tastaturen und Bildschirm, um mich an jedem meiner Rechner lokal anmelden zu können. :mrgreen:

Benutzeravatar
Meillo
Moderator
Beiträge: 9241
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: xz 5.6.x wurde kompromittiert

Beitrag von Meillo » 11.04.2024 11:04:07

So sehr relevant die Backdoor fuer die Entwicklungsstrukturen ist, so wenig relevant ist sie fuer Endanwendern.

Natuerlich ist es gut, nicht genutzte Dienste zu deinstallieren, zu deaktiveren oder sicher zu konfigurieren -- das ist generell sinnvoll; mit der xz-Backdoor hat das aber recht wenig zu tun.

Ich sehe keinen durch diese Backdoor noetigen Handlungsbedarf fuer Endanwender (die Stable-Versionen nutzen).
Use ed once in a while!

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 11.04.2024 11:11:29

MSfree hat geschrieben: ↑ zum Beitrag ↑
11.04.2024 10:42:28
... vncserver, alle rdpserver, telnetd, rlogind, X11 ...
Ja, wenn man es braucht, braucht man es. Dann muss es auf dem Rechner bleiben. Aber Danke für den Tipp mit vncserver, alle rdpserver, telnetd, rlogind. Nichts davon ist auf meinem Rechner, den ich gerade verwende. X11 ist drauf, weil Xfce drauf ist, ich mag es sehr, weil ich so viele Jahre damit gut gearbeitet habe, aber meist, wie jetzt auch, verwende ich Plasma mit Wayland. Jedenfalls denke ich jetzt, dass mit vielen Installationen auch Dinge auf den Rechner kommen, die nicht gebraucht werden und die für Angriffe ausgenutzt werden können. Ich glaube, da wissen User wie ich, zu wenig Bescheid.

Benutzeravatar
ohnex
Beiträge: 393
Registriert: 31.01.2010 22:35:36

Re: xz 5.6.x wurde kompromittiert

Beitrag von ohnex » 11.04.2024 12:14:46

hi,

Zum Thema gibt es bei segfault was auf die Ohren :arrow: https://segfault.fm/episode/0x28-xz/

ciao

mat6937
Beiträge: 3372
Registriert: 09.12.2014 10:44:00

Re: xz 5.6.x wurde kompromittiert

Beitrag von mat6937 » 11.04.2024 12:21:54

Virya hat geschrieben: ↑ zum Beitrag ↑
11.04.2024 09:09:45
... festgestellt, dass der OpenSSH-Server installiert ist. Ich weiß nicht, für was ich den brauche. ...
BTW: Nur installiert oder auch konfiguriert ( und lauschend)? Wenn lauschend, dann auch so, dass er aus dem Internet erreicht werden kann? Erstellt der sshd (... wenn als backdoor fungierend) auch dann eine Verbindung ins Internet her, wenn er lediglich installiert ist?
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce

Benutzeravatar
MSfree
Beiträge: 11605
Registriert: 25.09.2007 19:59:30

Re: xz 5.6.x wurde kompromittiert

Beitrag von MSfree » 11.04.2024 12:37:50

mat6937 hat geschrieben: ↑ zum Beitrag ↑
11.04.2024 12:21:54
BTW: Nur installiert oder auch konfiguriert...
Wenn man unter Debian den sshd mit

Code: Alles auswählen

apt-get install ssh-server
installiert, wird der automatisch als Service im systemd eingetragen, aktiviert und gestartet. Er ist also sofort mit der Standardkonfiguration lauschend aus allen Netzen erreichbar.

mat6937
Beiträge: 3372
Registriert: 09.12.2014 10:44:00

Re: xz 5.6.x wurde kompromittiert

Beitrag von mat6937 » 11.04.2024 12:43:44

MSfree hat geschrieben: ↑ zum Beitrag ↑
11.04.2024 12:37:50
... lauschend aus allen Netzen erreichbar.
Naja, wenn er nicht auf einem border device installiert ist, sondern hinter einerm Router oder wenn die default policy der INPUT chain auf DROP ist, ist er nicht (sofort) aus allen Netzen erreichbar. Es gibt aber auch Systeme, da ist er per default installiert aber sofort nach der Installation noch nicht aktiviert (d. h. er lauscht nicht).
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce

Benutzeravatar
MSfree
Beiträge: 11605
Registriert: 25.09.2007 19:59:30

Re: xz 5.6.x wurde kompromittiert

Beitrag von MSfree » 11.04.2024 13:35:45

mat6937 hat geschrieben: ↑ zum Beitrag ↑
11.04.2024 12:43:44
Es gibt aber auch Systeme, da ist er per default installiert aber sofort nach der Installation noch nicht aktiviert (d. h. er lauscht nicht).
Bei Debian mußte ich bisher bei Neuinstallationen den sshd explizit auswählen, sonst war der nicht installiert. Beim Raspberry Pi OS ist sshd zwar installiert, muß aber explizit mit raspi-config (oder systemctl) aktiviert werden.

Benutzeravatar
GregorS
Beiträge: 3144
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: xz 5.6.x wurde kompromittiert

Beitrag von GregorS » 13.04.2024 19:38:01

Das Thema wurde heute auch im Radio („Computer und Kommunikation“ im DLF) behandelt:
https://podcast-mp3.dradio.de/podcast/2 ... kation-102

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

niemand
Beiträge: 749
Registriert: 22.12.2023 16:35:53
Kontaktdaten:

Re: xz 5.6.x wurde kompromittiert

Beitrag von niemand » 13.04.2024 20:16:10

Wenn ich den Bericht mit dem tatsächlichen Sachverhalt vergleiche, bin ich zugegebenermaßen etwas enttäuscht. Verhältnismäßig viele überwiegend kleine Ungenauigkeiten und Detailfehler, obwohl sie einen „Experten“ zur Hand hatten.
Gut – nicht ganz so schlimm wie etwa die Berichterstattung etwa bei n-tv oder gar Springers Unterhaltungsblatt für Leseschwache, aber wie gesagt: in meinen Augen etwas enttäuschend.
„I fought in the Vim-Emacs-War.“ Quelle

Benutzeravatar
GregorS
Beiträge: 3144
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: xz 5.6.x wurde kompromittiert

Beitrag von GregorS » 13.04.2024 20:36:37

niemand hat geschrieben: ↑ zum Beitrag ↑
13.04.2024 20:16:10
Wenn ich den Bericht mit dem tatsächlichen Sachverhalt vergleiche, bin ich zugegebenermaßen etwas enttäuscht. Verhältnismäßig viele überwiegend kleine Ungenauigkeiten und Detailfehler, obwohl sie einen „Experten“ zur Hand hatten.
Gut – nicht ganz so schlimm wie etwa die Berichterstattung etwa bei n-tv oder gar Springers Unterhaltungsblatt für Leseschwache, aber wie gesagt: in meinen Augen etwas enttäuschend.
Für eine halbstündige Radiosendung, die auch noch andere interessante Themen behandelt, finde ich das schon ganz gut. Mir gefällt, dass eher grundsätzliche Implikationen/Probleme angesprochen werden, also das mit den nicht immer so gut funktionierenden Peer-Reviews z.B.

Als Text zum Lesen kann diesbezügliche Information schon qua Medium umfangreicher sein und ins Detail gehen.

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

niemand
Beiträge: 749
Registriert: 22.12.2023 16:35:53
Kontaktdaten:

Re: xz 5.6.x wurde kompromittiert

Beitrag von niemand » 13.04.2024 21:17:22

GregorS hat geschrieben: ↑ zum Beitrag ↑
13.04.2024 20:36:37
Als Text zum Lesen kann diesbezügliche Information schon qua Medium umfangreicher sein und ins Detail gehen.
Vom Umfang her war’s schon okay, von der Abdeckung auch. Ich meinte eher so Sachen wie „die […] Hintertür namens »xz«“, dass der sshd „zwei Dutzend Bibliotheken“ einbinden würde, die Behauptung, dass sämtliche Linuxserver mit ssh spätenstens im Spätsommer angreifbar gewesen wären, wenn man’s nicht gefunden hätte – so Kleinigkeiten halt, die mit etwas Sorgfalt nicht aufgetreten wären.
„I fought in the Vim-Emacs-War.“ Quelle

Benutzeravatar
ralli
Beiträge: 4380
Registriert: 02.03.2008 08:03:02

Re: xz 5.6.x wurde kompromittiert

Beitrag von ralli » 14.04.2024 10:08:22

Seriöse Berichterstattung gibt es kaum noch oder selten. Es wird erhöht, aufgebauscht und Ängste geschürt. So funktioniert es, wenn die Quote wichtig ist. Quote geht oft zu Lasten der inhaltlichen Qualität. Schade, aber die Realität.

Gruß ralli
Wer nicht lieben kann, muß hassen. Wer nicht aufbauen kann muß zerstören. Wer keine Brücken baut, muß spalten.

Benutzeravatar
TRex
Moderator
Beiträge: 8325
Registriert: 23.11.2006 12:23:54
Wohnort: KA

Re: xz 5.6.x wurde kompromittiert

Beitrag von TRex » 14.04.2024 11:26:50

Die notwendige Berichterstattung war zu Ende, als die ersten Analysen das Geschehene erfasst und erklärt haben. Was danach kam, war überwiegend kommerziell motiviert - es wurde schon alles gesagt, nur nicht von allen.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Antworten