Moin!

Es wurde eine ernstzunehmende Backdoor in xz entdeckt. Offenbar wurde diese bewusst eingeschleust. Angeblich sind nur wenige Systeme betroffen, auf denen die entsprechenden xz-Versionen ausgerollt wurden (Rolling-Release distros wie Arch oder Archbasierte aber wohl auch Debian testing/unstable/experimental und Fedora rawhide; auch Apple-User, die Homebrew verwenden, sind betroffen)

https://arstechnica.com/security/202...h-connections/

Der vermutlich Verantwortliche ist auch schon länger bei der xz-Entwicklung dabei - erschreckend:

“We even worked with him to fix the valgrind issue (which it turns out now was caused by the backdoor he had added),” the Ubuntu maintainer said. "He has been part of the xz project for two years, adding all sorts of binary test files, and with this level of sophistication, we would be suspicious of even older versions of xz until proven otherwise."

Google Translate:

„Wir haben sogar mit ihm zusammengearbeitet, um das Valgrind-Problem zu beheben (das, wie sich jetzt herausstellt, durch die von ihm hinzugefügte Hintertür verursacht wurde)“, sagte der Ubuntu-Betreuer. „Er ist seit zwei Jahren Teil des xz-Projekts und hat alle möglichen binären Testdateien hinzugefügt, und bei diesem Grad an Raffinesse wären wir auch gegenüber älteren Versionen von xz misstrauisch, bis das Gegenteil bewiesen ist.“

Wir im Debianforum auch schon bekrakelt das Thema --> https://debianforum.de/forum/viewtopic.php?t=189442

https://linuxnews.de/kompromittierte...-und-opensuse/

Zitat:

Das Paket mit der Backdoor stammt vom Upstream von xz-utils. Offensichtlich hat sich ein böswilliger Akteur über Jahre Einfluss auf das Projekt verschafft, um eine anspruchsvoll programmierte Backdoor einzubauen, deren Ziele und Auswirkungen bisher nicht in Gänze überschaubar sind. Ein Dokument auf GitHub fasst zusammen, was bisher bekannt ist. GitHub hat zudem das Repository von xz geperrt. Der Versuch des böswilligen Akteurs, das Paket auch in Ubuntu hochzuladen, gelang zum Glück nicht.

Bericht des Backdoor-Entdeckers Andres Freund:
https://www.openwall.com/lists/oss-s...y/2024/03/29/4

Video über den Bericht:
https://www.youtube.com/watch?v=jqjtNDtbDNI

Englischsprachiger Artikel:
https://boehs.org/node/everything-i-...he-xz-backdoor

Einschätzung für Arch Linux:
https://archlinux.org/news/the-xz-pa...en-backdoored/

Stellungnahme des ursprünglichen Maintainers von xz - Lasse Collin:
https://tukaani.org/xz-backdoor/

Deutschsprachige Artikel:

https://www.heise.de/news/Hintertuer...n-9671317.html

https://www.computerbase.de/2024-03/...me-angreifbar/

Also irgendwie fühle ich mich gerade etwas überfordert bei dieser Flut an recht unkonkreten Infos.
Oder steht jetzt irgendwo konkret drin, welche Maßnahmen man machen soll, außer die Updates anzuschmeißen? Ist denn jetzt klar, was genau diese Hintertür gemacht hat?

Soweit ich das verstehe, ist auf jeden Fall eine sehr komplizierte Backdoor (deren Mechanismus ich nur ansatzweise verstehe) da, die schlußendlich Zugriff auf SSH-Verbindungen gewärt.

Wer technikaffin ist kann sich das bereits oben verlinkte Video angucken, da wird es erklärt:
https://www.youtube.com/watch?v=jqjtNDtbDNI
Ich habe aber nur ca. 1/3 verstanden, da sehr technisch...

Was genau passiert und was die Payload macht, wird wohl derzeit noch analysiert.
Mehr als Update bzw. Downgrade geht erstmal nicht.

Frage ist wohl auch, ob der ominöse Contributor "Jia Tan" noch weiteren Schadcode im Laufe der 2 Jahre seiner Einflußnahme versteckt hat. Außerdem war er/sie noch an vielen anderen Projekten auf Github envolviert. Das aufzuarbeiten dürfte dauern...

Noch eine Einschätzung, was passiert:
https://gist.github.com/thesamesam/2...e9ee78baad9e27

Besteht denn die Gefahr, dass private Schlüssel ausgelesen wurden? Ich nutze nämlich sehr gerne das Authverfahren per Public/Private Key.

https://www.heise.de/news/xz-Attacke...eitrag.beitrag

Zitat:

Experten halten die Hintertür in liblzma für den bis dato ausgeklügeltesten Supplychain-Angriff. Er erlaubt Angreifern, aus der Ferne Kommandos einzuschleusen.

Das Thema ist jetzt auf der "breitesten" Ebene angekommen:
https://www.bild.de/news/inland/news-inland/internet-hacker-jia-tan-plante-seinen-angriff-seit-zwei-jahren-87770700.bild.html

BILD war dabei, BILD sprach als Erster mit den Toten

erstaunlicherweise/bemerkenswerterweise taucht das Thema bei Computerbild überhaupt nicht auf

https://www.computerbild.de/suche/?q...nux&gsc.page=1

Bild waagerecht halten sonst fließt das Blut runter!