Schwerwiegende Backdoor in xz-Utility kompromitiert SSH-Verbindungen

Yatagan

Moin!

Es wurde eine ernstzunehmende Backdoor in xz entdeckt. Offenbar wurde diese bewusst eingeschleust. Angeblich sind nur wenige Systeme betroffen, auf denen die entsprechenden xz-Versionen ausgerollt wurden (Rolling-Release distros wie Arch oder Archbasierte aber wohl auch Debian testing/unstable/experimental und Fedora rawhide; auch Apple-User, die Homebrew verwenden, sind betroffen)

https://arstechnica.com/security/202...h-connections/

Der vermutlich Verantwortliche ist auch schon länger bei der xz-Entwicklung dabei - erschreckend:

“We even worked with him to fix the valgrind issue (which it turns out now was caused by the backdoor he had added),” the Ubuntu maintainer said. "He has been part of the xz project for two years, adding all sorts of binary test files, and with this level of sophistication, we would be suspicious of even older versions of xz until proven otherwise."

Google Translate:

„Wir haben sogar mit ihm zusammengearbeitet, um das Valgrind-Problem zu beheben (das, wie sich jetzt herausstellt, durch die von ihm hinzugefügte Hintertür verursacht wurde)“, sagte der Ubuntu-Betreuer. „Er ist seit zwei Jahren Teil des xz-Projekts und hat alle möglichen binären Testdateien hinzugefügt, und bei diesem Grad an Raffinesse wären wir auch gegenüber älteren Versionen von xz misstrauisch, bis das Gegenteil bewiesen ist.“

__________________
"Consider again that dot. That's here. That's home. That's us. On it everyone you love, everyone you know, everyone you ever heard of, every human being who ever was, lived out their lives."— Carl Sagan