Inhaltsverzeichnis
openSUSE baut alle Tumbleweed-Pakete neu
Nachdem Debian gestern verkündet hatte, Debian 12.6 zu verschieben, um das Archiv auf weitere mögliche Verwundbarkeiten zu untersuchen, reagierte openSUSE bereits vor zwei Tagen auf die kritische Sicherheitslücke um xz/liblzma und baute die gesamte Codebasis samt aller Pakete seiner Rolling-Release-Variante Tumbleweed neu. Den Anwendern steht somit ein massives Update mit 2.000 bis 4.000 Paketen bevor. Die Entwickler raten dazu, das Update aus einem virtuellen Terminal zu fahren, da auch der Display-Server und die Desktop-Umgebung neu gebaut wurde.
Intensives Aufräumen
Die drastischen Maßnahmen der verwundbaren Distributionen belegen, dass man derzeit bisher nicht mit Sicherheit sagen kann, welche weiteren Auswirkungen das Angriffsszenario des Jia Tan haben könnten. Waren die weiteren Aktivitäten von Jia Tan in anderen Projekten lediglich Ablenkung oder Stärkung der Kreditwürdigkeit oder versteckt sich auch dort weiterer bösartiger Code? Das Aufräumen wird einige Zeit in Anspruch nehmen.
Kompromittiertes Paket mit Backdoor in Arch, Debian, Fedora und openSUSE
Gestern wurde in der Bibliothek liblzma, die mit dem Paket xz-utils ausgeliefert wird, eine kritische Lücke in Form einer Backdoor entdeckt (CVE-2024-3094). XZ-Utils enthält eine Reihe von Komprimierungsprogrammen für das XZ-Format, die in zahlreiche Linux-Distributionen vorhanden sind. Betroffen sind Rolling-Release-Distributionen, die DEB oder RPM als Paketformat nutzen. Dazu zählen Debian Testing und Unstable, Fedora 40 und Rawhide und openSUSE Tumbleweed sowie openSUSE MicroOS. Arch Linux ist ebenfalls betroffen. Eine weitere Voraussetzung scheint die Verwendung der glibc zu sein.
Entdeckt wurde die Backdoor vom Sicherheitsforscher Andres Freund, der sie auch als Erster beschrieb. Am Ende der Seite lässt sich das kleine Script detect.sh herunterladen, das eine vage Aussage trifft, ob ein System vermutlich verwundbar ist oder nicht. Das Script muss zunächst ausführbar gemacht werden.
Betroffene Versionen
Betroffen sind die vor einem Monat respektive drei Wochen erschienenen Versionen 5.6.0 und 5.6.1 von xz-utils. Der bösartige Code findet sich in den Quellcode-Tarballs und ist nicht in den öffentlichen Git-Repositories enthalten. Mittlerweile gibt es reparierte Pakete ohne die Schadsoftware. Bei Debian etwa die Version 5.6.1+really5.4.5-1, bei Arch 5.6.1-2. Fedora nutzt v5.4.6-3 für das Paket ohne Backdoor, während openSUSE die Versionierung 5.6.1.revertto5.4 nutzt. Wer eine der betroffenen Versionen installiert hat, sollte zunächst sofort auf die neue Version aktualisieren. Wird SSH derzeit nicht benötigt, sollte man den Dienst vermutlich besser abschalten.
Was bisher bekannt ist
Durch eine Reihe komplexer Verschleierungen extrahiert der liblzma-Build-Prozess eine vorgefertigte Objektdatei aus einer getarnten Testdatei im Quellcode, die dann dazu verwendet wird, bestimmte Funktionen im liblzma-Code zu ändern. Das Ergebnis ist eine modifizierte liblzma-Bibliothek, die von jeder Software verwendet werden kann, die gegen diese Bibliothek gelinkt ist, und die die Dateninteraktion mit dieser Bibliothek abfängt und modifiziert.
Mit diesem Konstrukt ist ein unbefugter Fernzugriff über SSH durch Umgehung der SSHD-Authentifizierung auf das System nicht auszuschließen. Das gelingt, da beim Start des OpenSSH-Server über den Umweg libsystemd auch liblzma aufgerufen wird. Dabei wird in der kompromittierten Version die Funktion RSA_public_decrypt an Malware-Code weitergeleitet, der die Authentifizierung umgeht und somit direkten Zugriff auf das System ermöglichen kann.
Von langer Hand geplant
Das Paket mit der Backdoor stammt vom Upstream von xz-utils. Offensichtlich hat sich ein böswilliger Akteur über Jahre Einfluss auf das Projekt verschafft, um eine anspruchsvoll programmierte Backdoor einzubauen, deren Ziele und Auswirkungen bisher nicht in Gänze überschaubar sind. Ein Dokument auf GitHub fasst zusammen, was bisher bekannt ist. GitHub hat zudem das Repository von xz geperrt. Der Versuch des böswilligen Akteurs, das Paket auch in Ubuntu hochzuladen, gelang zum Glück nicht.
Der heutige Tag wird vermutlich weitere Erkenntnisse bringen. Klar ist bereits, dass dies eine von langer Hand maliziös und akribisch vorbereitete Attacke ist. Handlungsanweisungen über die sofortige Aktualisierung von xz-utils und dem Abschalten von SSH gibt es bisher nicht.
Debian 12.6 wegen xz Backdoor verschoben
Eigentlich sollte am 6. April das nächste Point-Release des Projekts auf die Version Debian 12.6 »Bookworm« erfolgen. Die letzte Aktualisierung erfolgte am 11. Februar.
Sicherheit geht vor
Debian-Entwickler Adam Barratt hat vor zwei Tagen das für den 6.4. geplante Update auf Debian 12.6 verschoben, ohne dafür einen neuen Termin zu nennen. Grund ist CVE-2024-3094. Die kritische Sicherheitslücke, bei der ein böswilliger Akteur Tarballs des xz Kompressionstools mit einer Hintertür versehen hat, die den SSH-Fernzugriff ohne Authentifizierung ermöglicht, betraf unter anderem auch Debian Testing und Unstable. Bisher gibt es keinen Anhaltspunkt dafür, dass Debian Stable von der Lücke betroffen ist.
Untersuchung des Archivs
Trotzdem haben die Debian Entwickler beschlossen, eine gründliche Untersuchung durchzuführen, um weitere mögliche Auswirkungen auf das umfangreiche Debian-Repository auszuschließen. Damit wird Debian seinem Ruf gerecht, Stabilität und Sicherheit über alles andere zu stellen. Debian 12.6 wird also, in bester Debian-Tradition, erst freigegeben, wenn es fertig ist.
Backdoor in OpenSSH Server gefunden
Eine Backdoor (CVE-2024-3094) in XZ Utils könnte einem Angreifer erlauben, die OpenSSH Server Authentifizierung zu brechen.
Die Libary XZ Utils, welche unter Umständen vom OpenSSH Server verwendet wird, wurde in Version 3.6 kompromittiert und enthält eine backdoor.
Der Microsoft-Softwareingenieur Andres Freund entdeckte das Sicherheitsproblem, als er langsame SSH-Anmeldungen auf einer Linux-Maschine unter Debian Sid (der aktuellen Entwicklungsversion der Debian-Distribution) untersuchte. In den XZ Utils Datenkompressionswerkzeugen und -Bibliotheken wurde ein Backdoor gefunden. Die Lücke wird unter der Bezeichnung CVE-2024-3094 behandelt. Der entsprechende Bugreport ist als Issue auf Github zu finden.
Red Hat hat heute empfohlen, Systeme mit Fedora-Entwicklungs- und Experimentalversionen sofort herunterzufahren. OpenSSH Server verwendet liblzma nicht direkt. Debian und einige andere Distributionen patchen jedoch openssh, um Systemd-Benachrichtigungen zu unterstützen und libsystemd verwendet liblzma.
Betroffene Linux Distributionen mit OpenSSH Server backdoor
Vom Backdoor in OpenSSH Betroffen sind unter anderem Debian Unstable und testing. Reguläre Debian Releases wie z.B. Debian Bookworm sind nach aktuellen Stand nicht betroffen. RHEL ist nicht betroffen, allerdings warnt Red Hat vor der Verwendung von aktuellen Fedora Rawhide Installationen:
Auf Github kursiert ein script, mit welchem die Sicherheit des eigenen Systems überprüft werden kann.
Widerspruch nach Art. 21 DSGVO
Egal mit welchem Dienstleister, Versicherer, Bank, Online-Shop etc. ihr einen Vertrag / eine Geschäftsbeziehung habt, fast alle nutzen eure Daten für Direktwerbung, Profiling und Meinungsforschung. Dank der Datenschutzgrundverordnung (DSGVO) könnt ihr dem widersprechen. Das verhindert die Verarbeitung eurer Daten zu Werbezwecken und erspart euch Werbemüll im E-Mail-Postfach oder Briefkasten.
So geht ihr vor, wenn ihr widersprechen wollt:
- Ruft die Webseite der Bank, der Versicherung, des Dienstleisters, des Online-Shops usw. auf
- Ruft die Datenschutzerklärung auf
- Sucht dort nach dem Verantwortlichen im Sinne der DSGVO
- Kopiert die E-Mail-Adresse (meist ist sie dort hinterlegt)
- Anschließend wird eine E-Mail mit dem Titel »Widerspruchsrecht – Art. 21 DSGVO« verfasst:
hiermit widerspreche ich der Verarbeitung meiner personenbezogenen Daten für Zwecke der Direktwerbung gem. Art. 21 Abs. 2 DSGVO. Der Widerspruch bezieht sich auch auf das Profiling, soweit es im Zusammenhang mit der Direktwerbung steht.
Sofern ich eine Einwilligung zur Verarbeitung meiner Daten für Zwecke der Direktwerbung (z.B. nach Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO) erteilt habe, widerrufe ich diese hiermit.
Mein Widerruf gilt ausdrücklich auch für alle anderen Angebote und Unternehmen, für die Sie gemäß Art. 4 Nr. 7 DSGVO verantwortlich sind.
Gemäß Art. 12 Abs. 3 DSGVO bestätigen Sie mir meinen Widerspruch unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang meiner Anfrage.
Zur Identifizierung meiner Person habe ich folgende Daten beigefügt:
[Vorname Nachname]
[Straße Hausnummer]
[PLZ Ort]
[Vertragsnummer / Kundennummer]
Hinweis: Sollte mein Widerspruch zu einer Löschung meines Accounts nach Art. 17 Abs. 1 lit. c DSGVO führen, teilen Sie mir dies bitte mit. Ich werde dann im Einzelfall entscheiden, ob diese durchgeführt wird.
Mit freundlichen Grüßen
[Vorname Nachname]
Auf »Drohungen« in der ersten E-Mail sollte zunächst verzichtet werden, da die meisten Verantwortlichen innerhalb der Frist antworten und die Sperrung bestätigen.
Das könnt ihr bei fast jedem Vertrag oder Anbieter machen. Es kostet euch nichts, ist schnell erledigt und wirkt sich positiv auf den Schutz eurer Daten aus. Also: Macht es!
<< Neuere Einträge | Ältere Einträge >>
This page has been accessed for: Today: 1 / Yesterday: 1 Until now: 456