1
Dieses Thema fand ich diese Woche ganz interessant. Liest sich teilweise wie ein Krimi - auch wenn ich jetzt nicht jedes Detail völlig verstehe.
Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen | heise online
Edit: Ich zitiere mal noch den Wiki-Absatz, der alles knapp und übersichtlich zusammenfasst.
Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen | heise online
Edit: Ich zitiere mal noch den Wiki-Absatz, der alles knapp und übersichtlich zusammenfasst.
Zitat:Am 29. März 2024 wurde eine Backdoor in XZ Utils in den Versionen 5.6.0 und 5.6.1 bekannt. Die Sicherheitslücke erhielt den CVE-Eintrag CVE-2024-3094 mit der höchsten Bedrohungsstufe von 10. Diese Backdoor könnte es Angreifern ermöglichen, via SSH unbefugten Code auf Systemen auszuführen. Betroffene Linux-Distributionen sind unter anderem Debian unstable/testing, Fedora Rawhide, Gentoo Linux, Kali Linux und OpenSUSE Tumbleweed. Nicht betroffen sind zum Beispiel Debian stable, Red Hat Enterprise Linux oder SUSE Linux Enterprise. Bei der Rolling Release Distribution Arch Linux war die bis 28. März im Paket enthaltene Payload unschädlich. Da die Backdoor rechtzeitig gefunden wurde, hatte die kompromittierte Version noch nicht Einzug in die stabilen Versionen der meisten Distributionen gehalten. Andernfalls wären zahlreiche Server betroffen gewesen – dies wird vielfach als Albtraumszenario der IT-Sicherheit bezeichnet. Die Sicherheitslücke fiel auf, als ein PostgreSQL-Entwickler von Microsoft ungewöhnlich hohe CPU-Auslastungen bei SSHD-Prozessen bemerkte, die eigentlich aufgrund falscher Benutzernamen sofort hätten scheitern sollen. Eine tiefergehende Untersuchung mit Profiling-Tools zeigte, dass diese Auslastung durch außergewöhnliche Aktivitäten in der liblzma-Bibliothek verursacht wurde, ohne dass diese Aktivitäten einem spezifischen Symbol zugeordnet werden konnten. Diese Anomalie, kombiniert mit früheren, unerklärlichen Valgrind-Warnungen nach Paketaktualisierungen, weckte Verdacht. Die nachfolgende, detaillierte Analyse der xz-Codebasis und der kürzlichen Änderungen deckte schließlich die Backdoor auf. Als Reaktion auf diese Entdeckung wurde das offizielle GitHub-Repository des Projekts gesperrt, um eine weitere Verbreitung der kompromittierten Softwareversionen zu verhindern. Eingebaut wurde die Lücke durch eine Person mit dem Benutzernamen Jia Tan (GitHub-Account JiaT75). Diese hatte sich seit 2021 in dem Projekt engagiert, mutmaßlich um sich damit dort Vertrauen zu erschleichen. Zugleich übten andere Benutzer mit vermutlich falschen Identitäten Druck auf den ursprünglichen Maintainer aus, sodass dieser Jia Tan 2023 immer weitergehende Zugriffsrechte einräumte. Aufgrund des aufwändigen und langfristigen Vorgehens wird vermutet, dass hinter Jia Tan ein staatlicher Akteur steht.