Durch jahrelange Vorarbeit ist es Angreifern gelungen, den Quellcode der Kompressionssoftware xz zu kompromittieren. Gezielt eingereichte Patches schufen Sicherheitslücken und diese wurden proaktiv in aktuelle Linux-Distributionen eingepflegt. Zum Update auf ein bereinigtes Paket wird dringend geraten.
Was bislang bekannt ist
Als
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
wird die jüngst im Upstream des Pack-Programms
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
entdeckte Lücke bezeichnet. Dabei wird beim Build-Prozess der Bibliothek liblzma eine im Quellcode hinterlegte Testdatei extrahiert, aus welcher eine vorgefertigte Objektdatei Funktionen innerhalb des liblzma-Codes ändert. Als Folge kann die modifizierte liblzma-Bibliothek Daten-Interaktionen abfangen – und zwar von jeder Software, welche gegen diese Bibliothek gelinkt ist.So
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, dass beispielsweise
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
gegen die liblzma-Bibliothek verlinkt ist, welches wiederum mit
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
kommuniziert. Durch das Abfangen der Daten-Interaktionen kann das Authentifizierungs-Verfahren an den Schadcode umgeleitet und umgangen werden, was direkte Zugriffe auf das System ermöglicht.Die Entdeckung geht auf
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
zurück, welcher in den vorangegangen Wochen seltsames Verhalten in Debian-Installationen entdeckt hatte. Dabei verursachten SSH-Logins unter anderem eine Menge CPU-Last.Betroffene Systeme und Versionen
Die Verwundbarkeit ergibt sich durch das Zusammenspiel folgender
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
:- xz in Version 5.6.0 oder 5.6.1
- Distribution mit glibc
- Besonders .deb- und .rpm-Distributionen sind betroffen
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
ein Downgrade zu Version 5.4.6.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
sollen das Update auf 5.6.1-2 ausführen.In Debian und weiteren Distributionen ist openssh mit der Unterstützung für systemd notifications gepatcht, welches wiederum liblzma nutzt. Dieser Angriffsvektor ist unter Arch Linux nicht gegeben. Ob das eigenen System akut betroffen ist, lässt sich über den Befehl „ldd "$(command -v sshd)“ prüfen. Die Ausgabe zeigt eine eventuell vorhandene Verlinkung zu liblzma an.
Hinweis: ldd sollte nur auf vertrauenswürdige Pakete angewandt werden um missliebige Codeausführung zu vermeiden.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Nutzer der Fedora 40 Beta – Fedora 38 & 39 sowie 40 mit Paketen ausschließlich aus dem stable-repo sind nicht betroffen.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
aktualisiert das Paket zu 5.6.1.revertto5.4, um den Schadcode zu beseitigen.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
scheint hierbei glimpflich davon gekommen zu sein.Generell gilt neben dem sofortigen Update des
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
beziehungsweise des xz-Pakets auch der Rat, SSH abzustellen, falls dieses gegenwärtig nicht genutzt wird.Die Geschichte hinter dem Angriff
Eine Zusammenfassung der bislang bekannten Abläufe hat
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
zusammengetragen. Demnach begann die Unternehmung bereits im Jahr 2021 durch das Anlegen des GitHub-Accounts JiaT75 und ersten Versuchen, Open-Source Projekte zu torpedieren. 2022 hat die betreffende Person oder Unternehmung hinter dem Account erste Patches für xz geliefert, welche aktiv von weiteren Nutzern durchgedrückt wurden. Der Druck wurde weiter ausgebaut, um neue Maintainer für das Projekt aufzunehmen. JiaT75 begann regelmäßig Commits für das Projekt zu liefern.Anfang 2023 erreichte der Nutzer einen entsprechenden Vertrauensstatus im Projekt und kurz darauf startete das Werben bei den Distributionen um die Aufnahme der Programmversionen, die unter Zugriff der Konspiranten entstanden. Dabei wurden Vorbereitungen getroffen, um die Einführung schadhaften Codes zu verschleiern. Ab 2024 wurden die ominösen Testdateien aufgespielt und die verseuchte Version ausgeliefert.
Wer letztendlich dahinter steckt, lässt sich zum gegenwärtigen Zeitpunkt nicht sagen – ob ein staatlicher Akteur oder eine kriminelle Gruppe dahinter stecken, ist noch offen.
Quelle:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!