sowie in der Homebrew-Werkzeugsammlung fĂĽr macOS steckte die Backdoor jedoch.
Also hat auch Mac OS so seine Macken ihr armen Apple JĂĽnger , ei ei ei.
Wie der Entdecker Andres Freund herausgefunden hat, befindet sich die Hintertür ausschließlich in den Quellcode-Paketen für verschiedene liblzma-Versionen, ist im Git-Repository des Projekts also nicht zu finden. Was genau die Hintertür bewirkt und ob sie bereits aktiv von Angreifern ausgenutzt wird, ist zur Stunde noch unklar. Bekannt ist jedoch der Urheber, ein Entwickler namens "Jia Tan", der gemeinsam mit einigen anderen – möglicherweise gefälschten – Entwicklerkonten ein sehr aktiver Mitarbeiter des liblzma-Projekts war.
So schadet man eher anstelle zu Helfen.
Schwarze Schafe gibt es ĂĽberall , nicht nur im MS Bereich zu finden.
Diese jene zu finden und zu stellen ist oft schwieriger als eine LĂĽcke zu Patchen.
Die mutmaßliche Verschwörung übte im Juni 2022 starken Druck auf den Hauptentwickler von liblzma aus, das Projekt in "aktivere Hände" zu geben, was dann auch passierte. Im Februar dieses Jahres versteckte Jia Tan dann die gut getarnte Hintertür, die vermutlich die Authentifizierungsfunktion von OpenSSH schwächt oder außer Kraft setzt. Die Backdoor aktiviert sich nur dann, wenn sie den Programmnamen "/usr/sbin/sshd" erkennt. Zur Stunde gibt es noch keine vollständige Analyse des Backdoor-Codes, die Redaktion verfolgt die Analyse aber weiter. Auf Github gibt es eine FAQ zur xz-Backdoor. Auch eine CVE-ID für die Hintertür gibt es bereits: CVE-2024-3094.
Mir war dieses "Problem" schon länger bekannt. Auch ich hab nur Beobachtet und geschaut ob überhaupt sich darüber was tut. Aber bis jetzt war da nix. Gut das es noch nicht allzu-sehr bekannt war/ist. Auf diversen Github Bereichen hatte sich damals schon was getan dazu , daher ging ich davon aus das man das Problem schnell fixt, dem war wohl nicht so.
Die großen Linux-Distributionen Debian, Ubuntu und Fedora haben den schadhaften Code lediglich in ihren Test-Versionen wie etwa Debian Sid ausgeliefert und sich wieder auf sichere Versionen zurückgezogen. Fedora ruft sicherheitshalber jedoch auch Nutzer der Version 40 zum Update auf. Der macOS-Paketmanager Homebrew jedoch nutzte die trojanisierte Version der xz-Werkzeuge ebenfalls in verschiedenen Anwendungen – die Entwickler haben auch hier einen Rollback auf eine sichere Version vollzogen.
Die meisten ja ,aber nicht alle.
Das Pentesting-Linux Kali und Arch Linux warnen Nutzer ebenfalls vor Hintertüren in aktuellen Versionen ihrer Distribution und drängen auf zügige Updates. Ähnlich auch andere Distibutionen vor, wie beispielsweise Gentoo, das ein Downgrade auf eine nicht betroffene Paketversion empfiehlt. Weitere Distributionen dürften folgen – Administratoren werden über das Osterwochenende die Entwicklung bei ihrer favorisierten Linux-Geschmacksrichtung im Auge behalten müssen. Vermutlich war die Hintertür in vielen dieser Fälle nicht ausnutzbar oder nicht einmal aktiv, weil dafür verschiedene Umstände zusammenkommen müssen. Dennoch sind Anwender gut beraten, verfügbare Updates schnellstmöglich einzuspielen, insbesondere, weil die Funktionsweise der Hintertür noch nicht vollständig verstanden ist. Der Finder der Hintertür hat ein Bash-Skript geschrieben, um eine potentiell anfällige liblzma-Version auf dem eigenen System zu finden. Es bietet zwar keine vollständige Sicherheit, jedoch einen ersten Anhaltspunkt.
Da sieht man wie hier schnell gehandelt wird und auch versucht wird das Problem zu Beheben.
Selbst Test Tools werden bereitgestellt.
Bei MS und deren Produkte sieht man erst Tage später was und nicht selten kann so was bis zu 17 Jahre dauern. Es hat schon seine Vorteile wenn 4 Augen mehr sehen ( siehe Linux Distris,Github,etc.) als nur 2 ( siehe MS)
Qualitätsmäßig ist so was bei der Linux ebene weitaus besser als unter MS ( falls es je so eine oder ähnliche Lücke je geben wird/würde).
Ein Grund mehr auf Open Source ( Linux Distris) zu setzen als auf Closed Source ( siehe MS)
Das Posting wurde vom Benutzer editiert (31.03.2024 11:47).