{"id":293890,"date":"2024-03-30T07:25:48","date_gmt":"2024-03-30T06:25:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293890"},"modified":"2024-03-30T10:48:10","modified_gmt":"2024-03-30T09:48:10","slug":"linux-backdoor-in-upstream-xz-liblzma-kompromittierung-der-ssh-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/30\/linux-backdoor-in-upstream-xz-liblzma-kompromittierung-der-ssh-server\/","title":{"rendered":"Linux: Backdoor in Upstream xz\/liblzma; Kompromittierung der SSH-Server"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Zum Freitag den 29. M\u00e4rz 2024 hat Red Hat eine Warnung ver\u00f6ffentlicht. Die neuesten Versionen der \"xz\"-Tools und -Bibliotheken enthalten b\u00f6sartigen Code, eine Backdoor, die offenbar dazu gedacht ist, unbefugten Zugriff zu erm\u00f6glichen. Betroffen von der Backdoor (Sicherheitsl\u00fccke CVE-2024-3094) sind die Versionen 5.6.0 und 5.6.1 der Bibliotheken. Trifft verschiedene Nutzer von Linux und tangiert auch Open SSH.<\/p>\n

<\/p>\n

Zuf\u00e4llige Entdeckung<\/h2>\n

\"\"Ein Blog-Leser hat im Diskussionsbereich auf den OpenWall-Post backdoor in upstream xz\/liblzma leading to ssh server compromise<\/a> hingewiesen (danke daf\u00fcr). Microsoft Entwickler Andres Freund sind in den letzten Wochen einige merkw\u00fcrdige Symptome rund um liblzma (ein Teil des xz-Pakets) unter Debian-Sid-Installationen\u00a0 aufgefallen. Seine Logins mit ssh ben\u00f6tigten eine Menge CPU-Leistung, es gab valgrind<\/em>-Fehler etc.).<\/p>\n

Er ist dann der Sache nachgegangen und hat einen Grund daf\u00fcr herausgefunden: Das (auch von sssh benutzte) Upstream-xz-Repository und die xz-Tarballs wurden mit einem Backdoor versehen. Erst vermutete er, dass das Debian-Paket kompromittiert worden sei, stellte aber fest, dass die Backdoor im Upstream-Paket enthalten ist. Der Entdecker beschreibt einige Details in seinem Post.<\/p>\n

Seit dieser Zeit ist die Linux-Welt in Aufruhr, da es verschiedene Produkte (Tarballs, ssh) in diversen Linux-Distributionen betrifft. Auf X hat mir schon jemand die Information zukommen<\/a> lassen, dass GitHub die XZ Repository nach der Offenlegung der Backdoor suspendierte habe \u2013 merkt dazu aber an, dass die Plattform GitHub seit der \u00dcbernahme durch Microsoft \"nur noch M\u00fcll sei\".<\/p>\n

Norddeutsch hat es im Diskussionsbereich des Blogs zusammen gefasst. \"XZ-Backdoor schl\u00e4gt weitere Wellen. F\u00fcr Backdoor wurde Manipulation v. Googles oss-fuzzing per Fake-Request versucht, um Entdeckung zu verhindern. HackerNews diskutiert, weitere Reviews existieren. Eine gute Analyse des Sachverhalts findet sich auf GitHub<\/a>, die Manipulation per oss-fuzz ist hier bei Github\/Google<\/a> zu finden. Auf HackerNews gibt es einen Sammelthread<\/a> dazu.<\/p>\n

Warnung von Red Hat<\/h2>\n

Freitag, den 29. M\u00e4rz 2024, hat Red Hat eine Warnung<\/a> ver\u00f6ffentlicht, dass die neuesten Versionen der \"xz\"-Tools und -Bibliotheken b\u00f6sartigen Code enthalten, eine Backdoor, die offenbar dazu gedacht ist, unbefugten Zugriff zu erm\u00f6glichen. Dazu hei\u00dft es:<\/p>\n

B\u00f6sartiger Code wurde in den Upstream-Tarballs von xz, beginnend mit Version 5.6.0, entdeckt. Durch eine Reihe komplexer Verschleierungen extrahiert der liblzma-Erstellungsprozess eine vorgefertigte Objektdatei aus einer getarnten Testdatei im Quellcode, die dann verwendet wird, um bestimmte Funktionen im liblzma-Code zu ver\u00e4ndern. Das Ergebnis ist eine modifizierte liblzma-Bibliothek, die von jeder Software verwendet werden kann, die gegen diese Bibliothek gelinkt ist, und die die Dateninteraktion mit dieser Bibliothek abf\u00e4ngt und modifiziert.<\/p><\/blockquote>\n

Betroffen von der Backdoor (CVE-2024-3094<\/a>, CVSS Score 10.0) sind die Versionen 5.6.0 und 5.6.1 der Bibliotheken. Bei Red Hat hei\u00dft es, dass aktuelle Untersuchungen zeigen, dass die Pakete nur in Fedora 41 und Fedora Rawhide innerhalb des Red Hat Community \u00d6kosystems vorhanden sind. Es sind keine Versionen von Red Hat Enterprise Linux (RHEL) betroffen, gibt Redhad an. The Register schreibt hier<\/a>, dass auch bestimmte Fedora 40-Systeme das Update bekommen haben k\u00f6nnten.<\/p>\n

Auf jeden Fall sollte die Verwendung der Fedora Rawhide-Instanzen sofort eingestellt werden. Auch andere Linux-Distributionen d\u00fcrften durch diese xz-Tools und Bibliotheken betroffen sein.<\/p>\n

Es scheint aber, ob es in vielen F\u00e4llen nochmals gut gegangen ist – mutma\u00dflich waren nur \"unstable\" Distributionen betroffen. Das Internet Storm Center schreibt in diesem Tweet<\/a>:<\/p>\n

A quick note about xz-utils backdoor:
\n1 – luckily, this was caught early.
\n2 – most run xz-utils 5.2\/5.4. 5.6 is bad.
\n3 – quick check: `xz -V`
\n4 – Thanks to people who paid attention<\/p><\/blockquote>\n

Man hat das Ganze also rechtzeitig aufgedeckt, bevor es breiter im Einsatz war. Fedora Rawhide \/ Fedora Linux 40 \/ openSUSE Tumbleweed k\u00f6nnen betroffen sein. Testen kann man es mit dem oben unter 3 genannten Befehl, der die Version anzeigt.<\/p>\n

Die Diskussionen in diesem Sammelthread<\/a> bringen noch einiges Licht in die Angelegenheit, wie die Backdoor in den Code gelangen konnte. Die Kollegen von Bleeping Computer haben hier<\/a> auch noch einige Informationen dazu zusammen getragen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum Freitag den 29. M\u00e4rz 2024 hat Red Hat eine Warnung ver\u00f6ffentlicht. Die neuesten Versionen der \"xz\"-Tools und -Bibliotheken enthalten b\u00f6sartigen Code, eine Backdoor, die offenbar dazu gedacht ist, unbefugten Zugriff zu erm\u00f6glichen. Betroffen von der Backdoor (Sicherheitsl\u00fccke CVE-2024-3094) sind … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4742,4328,3836],"class_list":["post-293890","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-openssh","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293890"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293890\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293890"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}