Seiten: [1] 
|
 |
|
|
Autor
|
Thema: Das xz Paket hat eine Hintertür (Gelesen 1077 mal)
|
|
Sebastian
YaBB God
 Offline
Einträge: 702
|
 |
Das xz Paket hat eine Hintertür
« am: 30. März 2024, 13:28:06 »
|
|
https://archlinux.org/news/the-xz-package-has-been-backdoored/
TL;DR
Macht jetzt ein Update!
Betroffene Versionen:
Es wurde eine Hintertür im xz Paket gefunden. Es sind die Paket versionen 5.6.0 bis 5.6.1-1 betroffen.
Die erste bereinigte Version ist die 5.6.1-2
Beschreibung:
xz ist ein CLI Komprimierungsprogramm, das die liblzma Bibliothek verwendet und so gut wie auf allen Linux Distributionen vorinstalliert ist.
Von der Hintertür sind Debian Derivate besonders betroffen, da debian die betroffene Bibliothek mit openssh verlinkt. Diesen Angrifffaktor gab es zum Glück unter Arch nicht, da Arch dieses nicht mit openssh verlinkt.
LG
Sebastian
|
| « Letzte Änderung: 30. März 2024, 13:29:58 von Sebastian » |
 Gespeichert
|
Wo die digitale Kultur blüht, nutzen Angreifer Emotionen, Gewohnheiten und Markenbindung aus. Der Schutz beginnt nicht mit Technik, sondern mit Bewusstsein. Wer sich informiert, vorsichtig klickt und sichere Tools nutzt, kann auch unbeschwert an der Digitalkultur teilnehmen.
|
|
|
Andreas
Administrator
Offline
Einträge: 1500
Linux von Innen
|
 |
Re:Das xz Paket hat eine Hintertür
« Antwort #1 am: 30. März 2024, 17:57:50 »
|
|
Sehr interessant. Ist für uns Arch Nutzer nicht so hochprioritär, weil die Backdoor so nur lokal ausgenutzt werden kann. Aber für mich ist klar, dass sie für Debian-basierte Distros erschaffen wurde. Und sehr viele Server laufen unter Debian. Unserer seit 4 Jahren nicht mehr: ich nutze dort jetzt auch Arch.
Ich gebe zu, ich habe die Arch-News in den letzten Wochen etwas vernachlässigt. War ja auch lange sehr ruhig. Aber man sieht: das kann sich schnell ändern!
Ich wünsche allen ein schönes Osterfest
LG
Andreas
|
|
Gespeichert
|
Wissen ist das einzige Gut, das mehr wird, wenn man es teilt - wenn es Menschen gibt, die es teilen, und es Menschen gibt, die bereit sind, dieses Geschenk auch mit eigenem Einsatz anzunehmen.
Freiheit zu erkämpfen reicht nicht. Man muss sie auch verteidigen.
Ohne IT-Kompetenz ist man heutzutage ein willkommenes Opfer und Spielball anderer, egal, welches System oder Gerät man nutzt. Nur Wissen schützt vor Schaden!
|
|
|
Sebastian
YaBB God
Offline
Einträge: 702
|
|
BSI Publikation - Kritische Backdoor in XZ für Linux
« Antwort #2 am: 05. April 2024, 14:41:31 »
|
|
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223608-1032.html
In dem Paper steht eigentlich alles Wichtige über die Backdoor drin.
LG
Sebastian
|
|
Gespeichert
|
Wo die digitale Kultur blüht, nutzen Angreifer Emotionen, Gewohnheiten und Markenbindung aus. Der Schutz beginnt nicht mit Technik, sondern mit Bewusstsein. Wer sich informiert, vorsichtig klickt und sichere Tools nutzt, kann auch unbeschwert an der Digitalkultur teilnehmen.
|
|
|
Andreas
Administrator
Offline
Einträge: 1500
Linux von Innen
|
|
Re:Das xz Paket hat eine Hintertür
« Antwort #3 am: 05. April 2024, 15:03:58 »
|
|
Wie gut dass Arch-Pakete in der Regel extrem schnell gefixt werden....
Der Fehler wurde nach dem BSI am 29.03. gemeldet - und am 29.03. gab es bei Arch bereits eine fehlerbereinigte Version:
https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/commits/main
LG
Andreas
|
|
Gespeichert
|
Wissen ist das einzige Gut, das mehr wird, wenn man es teilt - wenn es Menschen gibt, die es teilen, und es Menschen gibt, die bereit sind, dieses Geschenk auch mit eigenem Einsatz anzunehmen.
Freiheit zu erkämpfen reicht nicht. Man muss sie auch verteidigen.
Ohne IT-Kompetenz ist man heutzutage ein willkommenes Opfer und Spielball anderer, egal, welches System oder Gerät man nutzt. Nur Wissen schützt vor Schaden!
|
|
|
Seiten: [1] 
|
|
|
|
|
|
|
