Seiten: [1] 
|
 |
|
|
Autor
|
Thema: Das xz Paket hat eine Hintertür (Gelesen 336 mal)
|
|
Sebastian
Sr. Member
 Offline
Einträge: 378
|
 |
Das xz Paket hat eine Hintertür
« am: 30. März 2024, 13:28:06 »
|
|
https://archlinux.org/news/the-xz-package-has-been-backdoored/
TL;DR
Macht jetzt ein Update!
Betroffene Versionen:
Es wurde eine Hintertür im xz Paket gefunden. Es sind die Paket versionen 5.6.0 bis 5.6.1-1 betroffen.
Die erste bereinigte Version ist die 5.6.1-2
Beschreibung:
xz ist ein CLI Komprimierungsprogramm, das die liblzma Bibliothek verwendet und so gut wie auf allen Linux Distributionen vorinstalliert ist.
Von der Hintertür sind Debian Derivate besonders betroffen, da debian die betroffene Bibliothek mit openssh verlinkt. Diesen Angrifffaktor gab es zum Glück unter Arch nicht, da Arch dieses nicht mit openssh verlinkt.
LG
Sebastian
|
| « Letzte Änderung: 30. März 2024, 13:29:58 von Sebastian » |
 Gespeichert
|
|
|
|
Andreas
Administrator
Offline
Einträge: 1143
Linux von Innen
|
 |
Re:Das xz Paket hat eine Hintertür
« Antwort #1 am: 30. März 2024, 17:57:50 »
|
|
Sehr interessant. Ist für uns Arch Nutzer nicht so hochprioritär, weil die Backdoor so nur lokal ausgenutzt werden kann. Aber für mich ist klar, dass sie für Debian-basierte Distros erschaffen wurde. Und sehr viele Server laufen unter Debian. Unserer seit 4 Jahren nicht mehr: ich nutze dort jetzt auch Arch.
Ich gebe zu, ich habe die Arch-News in den letzten Wochen etwas vernachlässigt. War ja auch lange sehr ruhig. Aber man sieht: das kann sich schnell ändern!
Ich wünsche allen ein schönes Osterfest
LG
Andreas
|
|
Gespeichert
|
Wissen ist das einzige Gut, das mehr wird, wenn man es teilt - wenn es Menschen gibt, die es weitergeben, und es Menschen gibt, die bereit sind, dieses Geschenk auch unter eigenem Einsatz anzunehmen.
Freiheit zu erkämpfen reicht nicht. Man muss sie auch verteidigen.
|
|
|
|
|
Andreas
Administrator
Offline
Einträge: 1143
Linux von Innen
|
|
Re:Das xz Paket hat eine Hintertür
« Antwort #3 am: 05. April 2024, 15:03:58 »
|
|
Wie gut dass Arch-Pakete in der Regel extrem schnell gefixt werden....
Der Fehler wurde nach dem BSI am 29.03. gemeldet - und am 29.03. gab es bei Arch bereits eine fehlerbereinigte Version:
https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/commits/main
LG
Andreas
|
|
Gespeichert
|
Wissen ist das einzige Gut, das mehr wird, wenn man es teilt - wenn es Menschen gibt, die es weitergeben, und es Menschen gibt, die bereit sind, dieses Geschenk auch unter eigenem Einsatz anzunehmen.
Freiheit zu erkämpfen reicht nicht. Man muss sie auch verteidigen.
|
|
|
Seiten: [1] 
|
|
|
|
|
|
|
