xz 5.6.x wurde kompromittiert

[katzenfan]

die Grundlast bei kritischen Projekten auf mehrere Köpfe zu verteilen.

Sollte das nicht überall gelten, daß Kritisches nicht einer alleine verantwortet, bzw., zu stemmen hat?

[TRex]

Sollte das nicht überall gelten, daß Kritisches nicht einer alleine verantwortet, bzw., zu stemmen hat?

Hast du dich gerade freiwillig gemeldet?

[reox]

Ich frage mich ja gerade, warum libsystemd libarchive/liblzma lädt. Laut man Page deutet libsystemd/bzw. der Patch für systemd-notify eigentlich nicht in die Richtung Kompression. Welches Feature von systemd nutzt Kompression?

https://github.com/openssh/openssh-portable/pull/375
https://www.man7.org/linux/man-pages/ma ... emd.3.html

Das ist eine gute Frage - aber irgendwo wird's wohl mal gebraucht werden können... Allerdings wurde in dem OpenSSH PR auch angemerkt, dass

Libselinux pulls in liblzma too and gets linked into tons more programs than libsystemd. And will end up in sshd too (at the very least via libpam/pam_selinux). And most of the really big distros tend do support selinux at least to some level. Hence systemd or not, sshd remains vulnerable by this specific attack.

[MaGe]

Ich glaube nicht nur ich frage mich gerade, wieviele Hintertüren denn nicht gefunden wurden, die es aber in gängige Distris geschafft haben.

Kuks du hier.

https://forum.siduction.org/index.php?t ... 0#msg74080




gruss MaGe

[katzenfan]

Hast du dich gerade freiwillig gemeldet?

Es sollten doch wohl Leute sein, die Ahnung haben?

[TRex]

Nicht genug (und Leute, die Ahnung haben, haben meist auch ausreichend viel zu tun).

[Virya]

So kann es gehen:
https://research.swtch.com/xz-timeline

[mig]

Falls wer der Blogeintrag von Bruce Schneier dazu lesen möchte
https://www.schneier.com/blog/archives/ ... kdoor.html

[Virya]

Vielleicht interessiert das auch jemanden:

Das ist der verrückteste Angriff»: Ein Programmierer entdeckt per Zufall eine gefährliche Hintertüre im Code – wohl von einem Geheimdienst
Die Schadsoftware war das Resultat einer jahrelangen Geheimaktion. In den nächsten Wochen hätte sie sich auf Internetservern weltweit verbreitet.
...
Was der Software-Entwickler Andreas Freund vor wenigen Tagen entdeckt hat, war dafür gemacht, niemals entdeckt zu werden ...

https://www.nzz.ch/technologie/xz-lueck ... ld.1824766

[MSfree]

Vielleicht interessiert das auch jemanden:

Was der Software-Entwickler Andreas Freund vor wenigen Tagen entdeckt hat, war dafür gemacht, niemals entdeckt zu werden ...

Nunja, dafür war die Backdoor dann doch zu diletantisch. Nicht nur mir (siehe weiter oben) ist aufgefallen, daß ein SSH-Login von einem infizierten Trixie-Rechner auf ein nicht infiziertes Bookwormsystem, plötzlich länger dauert. Wenn man nicht gerade die die lahmsten Single-Core Raspberries nimmt, um sich über SSH anzumelden, ist die Zeit zwischen der Betätigung der Entertaste zum Absetzen des SSH-Befehls und dem Passwort/Passphrase-Prompt praktisch Null, mit dem infizierten Trixie hat es plötzlich rund eine halbe Sekunde gedauert. Ich hatte das zunächst mit abgeschalteter Optimierung beim Compilieren abgetan und nicht weiter verdächtig gefunden, es ist halt Testing, wo das vorkommen kann.

Früher oder später hätte das aber jemand als Bugreport gemeldet. Andreas Freund hat uns allerdings den großen Gefallen getan, und hat es selbst analysiert und öffentlich gemacht.

[niemand]

Nunja, dafür war die Backdoor dann doch zu diletantisch.

Interessante Sichtweise. Weißt du denn, warum genau diese Verzögerung vorhanden ist, wodurch sie also verursacht wurde?

Wenn ich mir den Rest des Konstrukts angucke, wo Code wie versteckt und von da wieder vorgeholt wurde, wie die Bedingungen ausgewertet wurden, wieviel Zeit dort investiert wurde, etc., dann halte ich ohne diese Info erstmal ein „ging unter den Bedingungen halt nicht besser“ für die wahrscheinlichere Erklärung.

[MSfree]

Interessante Sichtweise. Weißt du denn, warum genau diese Verzögerung vorhanden ist, wodurch sie also verursacht wurde?

Das weiß ich natürlich nicht im Detail, nur das. was man sowieso nachlesen kann. Die erhöhte CPU-Last und die damit verbundene Verzögerung wurden aber auch von mir festgestellt. Und genau das ist es, was die Sache am Ende diletantisch macht. Das war eben doch zu auffällig um übersehen zu werden.

[Meillo]

Die erhöhte CPU-Last und die damit verbundene Verzögerung wurden aber auch von mir festgestellt. Und genau das ist es, was die Sache am Ende diletantisch macht. Das war eben doch zu auffällig um übersehen zu werden.

... so diletantisch wie jeder Zaubertrick: Es geht um das Aufmerksamkeitsmanagement, um Ablenkung, um Tauschung, um Denkrinnen, ...

Habt ihr euch den Diff angeschaut? https://git.tukaani.org/?p=xz.git;a=com ... 2c422d9ba7 So umfangreich ist der ja nicht. Den beschriebenen kleinen Bug habe ich darin auch nach mehrfachem Durchlesen nicht finden koennen. Selbst nachdem ich wusste, dass es sich nur um einen Punkt handelt, konnte ich diesen noch nicht entdecken, bis ich die Suchfunktion genutzt habe. ... weil er an einer Stelle ist, wo ich ihn nicht erwartet habe.

Du hast, wie sicher viele andere, die Zeitverzoegerung bemerkt, aber du hast dir nichts oder nicht genug oder nicht das richtige dabei gedacht. Ich finde, dass das durchaus als Erfolg und Koennen der Verschleierung zu werten ist. Der Entdecker hat ja auch geschrieben, wie viele Faktoren hatten zusammen kommen muessen, damit er genauer hingeschaut hat: https://mastodon.social/@AndresFreundTe ... 9178991535

Bei Freier Software muss die Manipulation -- wie bei guten Zaubertricks -- unter dem Blick von Zuschauern durchgefuehrt werden. Das muss man ueberhaupt erstmal hinbekommen. So diletantisch finde ich das also nicht ... bloss weil man es nun, rueckblickend, wo man es weiss, worauf man schauen muss, einfach zu sehen findet.


Nun gut, vielleicht unterliegen wir hier auch dem Survivor Bias und haben die ganzen nicht-diletantischen Backdoors bloss noch nicht entdeckt.

[Blue]

Entscheidend ist für mich bei dem Thema, woher der ganze Dreck kommt und welchen Interessen er dient.
Investigative Jounalisten sollten in diesem Zusammenhang den Nobel-Preis erhalten und massiv gefördert werden.

[ernohl]

Bei Freier Software muss die Manipulation -- wie bei guten Zaubertricks -- unter dem Blick von Zuschauern durchgefuehrt werden. Das muss man ueberhaupt erstmal hinbekommen. So diletantisch finde ich das also nicht ... bloss weil man es nun, rueckblickend, wo man es weiss, worauf man schauen muss, einfach zu sehen findet.

Genauso sehe ich das auch. Der/die Typ(en) waren Profis, aber das letzte Quäntchen Glück gepaart mit Zufall auf unserer Seite.

[Virya]

Na super ... : "Microsoft-Entwickler rettet Millionen Rechner vor Computer-GAU"
Kann da jemand reinlesen? Ich hab kein Digital-Abo:
https://www.spiegel.de/netzwelt/web/hin ... dbbfe8c30c

[reox]

"Microsoft-Entwickler rettet Millionen Rechner vor Computer-GAU"

Der Oberwitz wäre ja wenn das eine jahrelang geplante PR Aktion war
(Wobei der Code ja offenbar auch in Windows 11 gelandet ist oder so, hatte ich gelesen)

[tobo]

Nix, was man lesen muss:
https://archive.is/JPEH5

[Virya]

Nix, was man lesen muss:
https://archive.is/JPEH5

Cool

[Livingston]

Nix, was man lesen muss...

Da der Spiegel schon seit 20 Jahren schwer FOKUSsiert ist, hat man sich auch dort angewöhnt, zu allem seinen Senf abzulassen, selbst wenn das "aktuelle" Ereignis schon eine Woche zurückliegt.

[tobo]

Spiegel ist zwar bestimmt noch immer nicht auf Focus-Niveau, aber inhaltlich gibt der Beitrag ja trotzdem nichts her. Hier im Thread gibt es Links, die sind informativ deutlich ergiebiger...

[heisenberg]

Der Oberwitz wäre ja wenn das eine jahrelang geplante PR Aktion war

Na so teuer dürfte die Aktion jetzt doch nicht gewesen sein. 50K oder 100K für sowas. Im Marketing sind dass doch Peanuts.

(Wobei der Code ja offenbar auch in Windows 11 gelandet ist oder so, hatte ich gelesen)

Sehr gut: Plausible Deniability!

[Livingston]

Sehr gut: Plausible Deniability!

...

...

[Emess]

https://www.bild.de/news/ausland/news-a ... .bild.html
Was sagt man den dazu?


Edit JTH: Aus zweitem eröffneten Thema hierher verschoben.

[4A4B]

Das Thema wurde hier schon besprochen:

viewtopic.php?t=189442