Achtung: Schadsoftware für Linux

woodchuck · 30. März 2024 um 06:01

Die aktuelle Versiond des in Linux-Distros weit verbreiteten Kompressions-Tools XZ Utils kommt mit einer Backdoor https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils, betroffen sind u.a. Nutzer von Debian Testing und OpenSuse Tumbleweed. (Bei letztgenannter erfolgt eine Entschärfung durch XZ-Downgrading bei einem Update durch zypper dup ab 30. März, habe ich gerade selbst überprüft.)

Und wieder einmal stellen wir fest: Open Source ist eine notwendige, aber nicht hinreichende Voraussetzung für Sicherheit.

nobody · 30. März 2024 um 06:34

Etwas detailierter:

CVE-2024-3094
Backdoor die u.U. die OpenSSH Authentifizierung umgeht
Nicht betroffen:
- Fedora Linux 40
- RHEL
- Debian stable
- Amazon Linux
- SUSE Linux Enterprise and Leap
- alle die keinen OpenSSH Server installiert haben

(Ist der SSH-Port nur über ein geschütztes Netz erreichbar, ist das potentielle Risiko entsprechend niedriger bzw. geht gegen Null)

duda · 30. März 2024 um 06:40

Vereinzelt nutze ich „Testing“ für spezielle Anwendungen, die anderswo nicht verfügbar sind. Allerdings war und ist „XZ Utils“ nicht darunter. Muss ich mir jetzt trotzdem Sorgen machen?

nobody · 30. März 2024 um 06:46

Betroffen ist das Paket xz-utils in der Version 5.6.0 und 5.6.1. Die Backdoor greift nur dann, wenn ein OpenSSH-Server installiert ist.

Nachtrag:

Laut linuxnews.de sind die Codeänderungen nicht im öffentlichen Repository, d.h. wenn die Anwendung anhand des Quellcodes gebaut wurde, ist diese Backdoor nicht enthalten. Wurde die Anwendung stattdessen anhand des Tarballs gebaut, ist die Backdoor enthalten.

Der bösartige Code findet sich in den Quellcode-Tarballs und ist nicht in den öffentlichen Git-Repositories enthalten.

porcupine0815 · 30. März 2024 um 07:00

Bei Arch Linux und Derivaten sind die Versionen xz 5.6.0-1 and xz 5.6.1-1 betroffen.

Updates auf die bereinigte Version xz 5.6.1-2 stehen seit gestern zur Verfügung.

Chief1945 · 30. März 2024 um 07:41

Arch enthielt den Code, er war aber nie aktiv. Arch verwendet die Integration von xz nicht so wie von der Malware vorgesehen. Zudem checkt der Code auf Debian oder RPM um aktiv zu werden.

porcupine0815 · 30. März 2024 um 07:53

Das ist richtig, dennoch empfiehlt https://archlinux.org

Upgrading the system

It is strongly advised to do a full system upgrade right away if your system currently has xz
version 5.6.0-1 or 5.6.1-1 installed:

pacman -Syu

b4sh · 30. März 2024 um 08:01

Eine Analyse:

https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Auch interessant ist die Diskussion auf Hackernews:

https://news.ycombinator.com/item?id=39865810

Holzmichl · 3. April 2024 um 06:03

XZ ist m.W. auch im Kernel drin, weiß da jemand mehr? Ich komprimiere (bisher) meine Kernel Module damit…

hoxert37 · 3. April 2024 um 14:39

Das bedeutet also, dass der Raspberry Pi mit Pihole-Unbound hinter(!) der Fritzbox geschützt ist? Login erfolgt gemäß Anleitung von Bummelstein ja per ssh.

nobody · 3. April 2024 um 16:01

Sieht zumindest bisher so aus - andernfalls müsste eine Verbindung zu einem externen Server hergestellt werden. Heise sagt dazu:

Nach bisherigem Kenntnisstand leitet sie eine Funktion aus dem Anmeldevorgang auf sich um. Konkret landet jeder Versuch, sich mit einem RSA-Public-Key anzumelden via RSA_public_decrypt() im Hintertür-Code. Der analysiert den dazu verwendeten öffentlichen Schlüssel und extrahiert daraus Kommandozeilenbefehle, die er auf dem Server ausführt.

Wenn der OpenSSH-Server nicht offen aus dem Internet erreichbar ist, dann ist das Risiko praktisch bei Null. Geräte im gleichen Netz könnten natürlich ein gewisses Risiko darstellen, aber danach sieht es aktuell nicht aus.

Dann verwendest du höchstwahrscheinlich Debian Stable und bist davon sowieso nicht betroffen.

Nebu911 · 3. April 2024 um 16:57

Korrekt, man sollte bei aller Vorsicht auch dazu sagen, dass quasi keine „normalen“ Distributionen betroffen sind/waren…

woodchuck · 3. April 2024 um 17:12

Räusper, ich als Nutzer von OpenSuse Tumbleweed bin also mit einer „unnormalen“ Distro unterwegs?

jm1982 · 3. April 2024 um 17:18

Fedora 39 ist auch nicht betroffen. Zumindest habe ich nicht die entsprechende XZ Version.

woodchuck · 3. April 2024 um 18:23

Bei Fedora sind nur 41 und die Rawhide-Versionen betroffen.

Und mal abgesehen von solchen Details sind die wirklich interessaanten Fragen grundsätzlicher Natur. https://www.heise.de/hintergrund/Die-xz-Hintertuer-das-verborgene-Oster-Drama-der-IT-9673038.html

bamf · 7. April 2024 um 21:55

Ich hatte vergessen, dass ich auf meinem Ubuntu mal Homebrew installiert hatte, weil ich irgendein Tool in einer neueren Version brauchte.

==> Upgrading xz
  5.6.1 -> 5.4.6
==> Pouring xz--5.4.6.x86_64_linux.bottle.tar.gz
🍺  /home/linuxbrew/.linuxbrew/Cellar/xz/5.4.6: 164 files, 2.7MB
==> Running `brew cleanup xz`...

Hoppla