English
Español
Français
Italiano
Nederlands
Polski
Português
Русский
Türkçe
Svenska
Chinese
MagyarBackdoor in XZ-Komprimierungstools in mehrere Linux-Distributionen eingeschleust
Aufgrund ungewöhnlich hoher CPU-Auslastung und Fehlermeldungen bei der Nutzung des Remote-Logins über SSH ist dem Softwareentwickler Andres Freund eine massive Sicherheitslücke in seiner Debian SID-Installation aufgefallen. Als Ursache konnte der Entwickler die XZ-Tools ausmachen, eine Sammlung von Kompressionswerkzeugen, die in vielen Linux-Distributionen enthalten sind und teilweise auch von SSH genutzt werden.
Die Sicherheitslücke mit der Bezeichnung CVE-2024-3094 ermöglicht einen nicht autorisierten Fernzugriff auf betroffene Linux-Systeme. Die von der Backdoor betroffenen Versionen sind die XZ Utilities und die zugehörige Bibliothek „liblmza“ in den Versionen 5.6.0 von Ende Februar und 5.6.1 vom 9. März 2024. Diese kompromittierten XZ-Versionen, die von einem der XZ-Entwickler selbst eingebracht wurden, umgehen die SSH-Authentifizierung, wodurch Angreifer aus der Ferne weitreichende Kontrolle über das System erlangen können.
Software-Entwickler Andres Freund schreibt zu seiner Entdeckung dieser Sicherheitslücke: "Nachdem ich in den letzten Wochen einige seltsame Vorkomnisse im Zusammenhang mit liblzma (Teil des xz-Pakets) auf Debian-Sid-Installationen beobachtet habe (Logins mit ssh, die viel CPU benötigen, valgrind-Fehler), habe ich die Antwort herausgefunden: Das Upstream-xz-Repository und die xz-Tarballs wurden mit einem Backdoor versehen. Zuerst dachte ich, es handele sich um eine Kompromittierung des Debian-Pakets, aber es stellte sich heraus, dass es Upstream ist."
Dabei war der Backdoor-Code nur teilweise und im offenen Quellcode auf GitHub versteckt, GitHub selbst hat den Account von XZ Utilities vorerst gesperrt. Betroffene Linux-Distributionen, für die aber mit Ausnahme von Fedora Rawhide bereits Updates verfügbar sind, sind:
- Debian Testing, Unstable und Experimental
- Fedora Rawhide
- Arch Linux
- openSUSE Tumbleweed
Distributionen wie Debian Stable, Fedora 39, openSUSE Leap oder Red Hat Enterprise Linux (RHEL) sind von der Sicherheitslücke in den XZ Utilities nicht betroffen. Wer eine der oben genannten Linux-Distributionen einsetzt, kann die Versionsnummer der XZ Utilities in der Konsole mit xz -version überprüfen. Im Idealfall wird eine Neuinstallation empfohlen, insbesondere wenn auf dem Linux-System der SSH-Zugang aktiviert ist.
Quelle(n)
