sowie in der Homebrew-Werkzeugsammlung fĂŒr macOS steckte die Backdoor jedoch.
Also hat auch Mac OS so seine Macken ihr armen Apple JĂŒnger , ei ei ei.
Wie der Entdecker Andres Freund herausgefunden hat, befindet sich die HintertĂŒr ausschlieĂlich in den Quellcode-Paketen fĂŒr verschiedene liblzma-Versionen, ist im Git-Repository des Projekts also nicht zu finden. Was genau die HintertĂŒr bewirkt und ob sie bereits aktiv von Angreifern ausgenutzt wird, ist zur Stunde noch unklar. Bekannt ist jedoch der Urheber, ein Entwickler namens "Jia Tan", der gemeinsam mit einigen anderen â möglicherweise gefĂ€lschten â Entwicklerkonten ein sehr aktiver Mitarbeiter des liblzma-Projekts war.
So schadet man eher anstelle zu Helfen.
Schwarze Schafe gibt es ĂŒberall , nicht nur im MS Bereich zu finden.
Diese jene zu finden und zu stellen ist oft schwieriger als eine LĂŒcke zu Patchen.
Die mutmaĂliche Verschwörung ĂŒbte im Juni 2022 starken Druck auf den Hauptentwickler von liblzma aus, das Projekt in "aktivere HĂ€nde" zu geben, was dann auch passierte. Im Februar dieses Jahres versteckte Jia Tan dann die gut getarnte HintertĂŒr, die vermutlich die Authentifizierungsfunktion von OpenSSH schwĂ€cht oder auĂer Kraft setzt. Die Backdoor aktiviert sich nur dann, wenn sie den Programmnamen "/usr/sbin/sshd" erkennt. Zur Stunde gibt es noch keine vollstĂ€ndige Analyse des Backdoor-Codes, die Redaktion verfolgt die Analyse aber weiter. Auf Github gibt es eine FAQ zur xz-Backdoor. Auch eine CVE-ID fĂŒr die HintertĂŒr gibt es bereits: CVE-2024-3094.
Mir war dieses "Problem" schon lĂ€nger bekannt. Auch ich hab nur Beobachtet und geschaut ob ĂŒberhaupt sich darĂŒber was tut. Aber bis jetzt war da nix. Gut das es noch nicht allzu-sehr bekannt war/ist. Auf diversen Github Bereichen hatte sich damals schon was getan dazu , daher ging ich davon aus das man das Problem schnell fixt, dem war wohl nicht so.
Die groĂen Linux-Distributionen Debian, Ubuntu und Fedora haben den schadhaften Code lediglich in ihren Test-Versionen wie etwa Debian Sid ausgeliefert und sich wieder auf sichere Versionen zurĂŒckgezogen. Fedora ruft sicherheitshalber jedoch auch Nutzer der Version 40 zum Update auf. Der macOS-Paketmanager Homebrew jedoch nutzte die trojanisierte Version der xz-Werkzeuge ebenfalls in verschiedenen Anwendungen â die Entwickler haben auch hier einen Rollback auf eine sichere Version vollzogen.
Die meisten ja ,aber nicht alle.
Das Pentesting-Linux Kali und Arch Linux warnen Nutzer ebenfalls vor HintertĂŒren in aktuellen Versionen ihrer Distribution und drĂ€ngen auf zĂŒgige Updates. Ăhnlich auch andere Distibutionen vor, wie beispielsweise Gentoo, das ein Downgrade auf eine nicht betroffene Paketversion empfiehlt. Weitere Distributionen dĂŒrften folgen â Administratoren werden ĂŒber das Osterwochenende die Entwicklung bei ihrer favorisierten Linux-Geschmacksrichtung im Auge behalten mĂŒssen. Vermutlich war die HintertĂŒr in vielen dieser FĂ€lle nicht ausnutzbar oder nicht einmal aktiv, weil dafĂŒr verschiedene UmstĂ€nde zusammenkommen mĂŒssen. Dennoch sind Anwender gut beraten, verfĂŒgbare Updates schnellstmöglich einzuspielen, insbesondere, weil die Funktionsweise der HintertĂŒr noch nicht vollstĂ€ndig verstanden ist. Der Finder der HintertĂŒr hat ein Bash-Skript geschrieben, um eine potentiell anfĂ€llige liblzma-Version auf dem eigenen System zu finden. Es bietet zwar keine vollstĂ€ndige Sicherheit, jedoch einen ersten Anhaltspunkt.
Da sieht man wie hier schnell gehandelt wird und auch versucht wird das Problem zu Beheben.
Selbst Test Tools werden bereitgestellt.
Bei MS und deren Produkte sieht man erst Tage spÀter was und nicht selten kann so was bis zu 17 Jahre dauern. Es hat schon seine Vorteile wenn 4 Augen mehr sehen ( siehe Linux Distris,Github,etc.) als nur 2 ( siehe MS)
QualitĂ€tsmĂ€Ăig ist so was bei der Linux ebene weitaus besser als unter MS ( falls es je so eine oder Ă€hnliche LĂŒcke je geben wird/wĂŒrde).
Ein Grund mehr auf Open Source ( Linux Distris) zu setzen als auf Closed Source ( siehe MS)
Das Posting wurde vom Benutzer editiert (31.03.2024 11:47).