Titel: Das xz Paket hat eine Hintertür
Beitrag von: Sebastian am 30. März 2024, 13:28:06
https://archlinux.org/news/the-xz-package-has-been-backdoored/
[size=3]TL;DR
Macht jetzt ein Update![/size]
Betroffene Versionen:
Es wurde eine Hintertür im xz Paket gefunden. Es sind die Paket versionen 5.6.0 bis 5.6.1-1 betroffen.
Die erste bereinigte Version ist die 5.6.1-2
Beschreibung:
xz ist ein CLI Komprimierungsprogramm, das die liblzma Bibliothek verwendet und so gut wie auf allen Linux Distributionen vorinstalliert ist.
Von der Hintertür sind Debian Derivate besonders betroffen, da debian die betroffene Bibliothek mit openssh verlinkt. Diesen Angrifffaktor gab es zum Glück unter Arch nicht, da Arch dieses nicht mit openssh verlinkt.
LG Sebastian |
Titel: Re:Das xz Paket hat eine Hintertür
Beitrag von: Andreas am 30. März 2024, 17:57:50
Sehr interessant. Ist für uns Arch Nutzer nicht so hochprioritär, weil die Backdoor so nur lokal ausgenutzt werden kann. Aber für mich ist klar, dass sie für Debian-basierte Distros erschaffen wurde. Und sehr viele Server laufen unter Debian. Unserer seit 4 Jahren nicht mehr: ich nutze dort jetzt auch Arch.
Ich gebe zu, ich habe die Arch-News in den letzten Wochen etwas vernachlässigt. War ja auch lange sehr ruhig. Aber man sieht: das kann sich schnell ändern!
Ich wünsche allen ein schönes Osterfest
LG Andreas |
Titel: BSI Publikation - Kritische Backdoor in XZ für Linux
Beitrag von: Sebastian am 05. April 2024, 14:41:31
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223608-1032.html
In dem Paper steht eigentlich alles Wichtige über die Backdoor drin.
LG Sebastian |
Titel: Re:Das xz Paket hat eine Hintertür
Beitrag von: Andreas am 05. April 2024, 15:03:58
Wie gut dass Arch-Pakete in der Regel extrem schnell gefixt werden....
Der Fehler wurde nach dem BSI am 29.03. gemeldet - und am 29.03. gab es bei Arch bereits eine fehlerbereinigte Version: https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/commits/main
LG Andreas |
Diskussions- und Newsboard der Linux Interessen Gruppe Suletuxe | Powered by YaBB SE
© 2001-2003, YaBB SE Dev Team. All Rights Reserved.
|