Diskussions- und Newsboard der Linux Interessen Gruppe Suletuxe 
allgemeine Kategorie => Installation & Einrichtung => Thema von: Sebastian am 30. März 2024, 13:28:06
Titel: Das xz Paket hat eine Hintertür
Beitrag von: Sebastian am 30. März 2024, 13:28:06
https://archlinux.org/news/the-xz-package-has-been-backdoored/

[size=3]TL;DR

Macht jetzt ein Update![/size]

Betroffene Versionen:

Es wurde eine Hintertür im xz Paket gefunden. Es sind die Paket versionen 5.6.0 bis 5.6.1-1 betroffen.

Die erste bereinigte Version ist die 5.6.1-2

Beschreibung:

xz ist ein CLI Komprimierungsprogramm, das die liblzma Bibliothek verwendet und so gut wie auf allen Linux Distributionen vorinstalliert ist.

Von der Hintertür sind Debian Derivate besonders betroffen, da debian die betroffene Bibliothek mit openssh verlinkt. Diesen Angrifffaktor gab es zum Glück unter Arch nicht, da Arch dieses nicht mit openssh verlinkt.

LG
Sebastian
Titel: Re:Das xz Paket hat eine Hintertür
Beitrag von: Andreas am 30. März 2024, 17:57:50
Sehr interessant. Ist für uns Arch Nutzer nicht so hochprioritär, weil die Backdoor so nur lokal ausgenutzt werden kann. Aber für mich ist klar, dass sie für Debian-basierte Distros erschaffen wurde. Und sehr viele Server laufen unter Debian. Unserer seit 4 Jahren nicht mehr: ich nutze dort jetzt auch Arch.

Ich gebe zu, ich habe die Arch-News in den letzten Wochen etwas vernachlässigt. War ja auch lange sehr ruhig. Aber man sieht: das kann sich schnell ändern!

Ich wünsche allen ein schönes Osterfest

LG
Andreas
Titel: BSI Publikation - Kritische Backdoor in XZ für Linux
Beitrag von: Sebastian am 05. April 2024, 14:41:31
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223608-1032.html

In dem Paper steht eigentlich alles Wichtige über die Backdoor drin.

LG
Sebastian
Titel: Re:Das xz Paket hat eine Hintertür
Beitrag von: Andreas am 05. April 2024, 15:03:58
Wie gut dass Arch-Pakete in der Regel extrem schnell gefixt werden....

Der Fehler wurde nach dem BSI am 29.03. gemeldet - und am 29.03. gab es bei Arch bereits eine fehlerbereinigte Version:
https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/commits/main

LG
Andreas


Diskussions- und Newsboard der Linux Interessen Gruppe Suletuxe | Powered by YaBB SE
© 2001-2003, YaBB SE Dev Team. All Rights Reserved.