Mit dem Live-System Clonezilla lassen sich komfortabel Partitionen sichern und klonen. Die neue Version 3.1.2-22 frischt die genutzten Softwarepakete auf und schließt die Xz-Sicherheitslücke.
Der Emulator FEX erlaubt das Starten von x86-Programmen auf 64-Bit-fähigen ARM-Prozessoren (Aarch64-Architektur).
Das Content-Management-System Joomla! betreibt in seiner neuen Version vornehmlich Produktpflege. Sichtbare Neuerungen muss man dabei mit der Lupe suchen.
Loki aggregiert Log-Daten aus zahlreichen Quellen und kann selbst riesige Datenmengen effizient durchsuchen. In der neuen Major-Version hilft dabei ein Bloom-Filter.
Die Eclipse Foundation entwickelt eine runderneuerte Entwicklungsumgebung namens Theia IDE. In ihrer aktuellen Version 1.48 lassen sich Editor-Tabs in ein eigenes Fenster herauslösen.
Die Distribution AV Linux MX richtet sich mit ihren vorinstallierten Multimedia-Anwendungen vor allem an kreative Köpfe.
Die extrem schlanke Distribution Peropesis liegt in einer neuen Version vor, die drei bekannte Build-Automation-Werkzeuge mitliefert.
Das gemeinnützige Unternehmen Software in the Public Interest (SPI) unterstützt finanziell Open-Source-Projekte.
Das beliebte Content-Management-System vereinfacht in seiner neuen Version die Verwaltung von Schriftarten, spendiert mehr Blöcken einen Schlagschatten, reagiert flinker, optimiert die…
Das Videoschnittprogramm Flowblade kann in seiner neuen Version erzeugte Titel jederzeit nachbearbeiten sowie einige ausgewählte Jog/Shuttle-Geräte einbinden.
Das Live-System für das sichere und anonyme Surfen über das Tor-Netzwerk liegt in einer neuen Version vor. Die frischt in erster Linie den Tor-Browser und Thunderbird auf.
Die weitverbreiteten Datenkompressionswerkzeuge XZ Utils (früher LZMA Utils) enthalten in Version 5.6 eine Backdoor. Ziel der Backdoor ist nach aktuellem Kenntnisstand eine Kompromittierung von SSH-Servern. Dies wurde gestern auf der oss-security-Mailingliste von Andres Freund nebst einer umfangreichen Analyse des Sachverhalts bekannt gegeben. Durch den Einsatz der Werkzeuge in Linux-Distributionen haben wir hier einen Fall einer Supply-Chain-Attacke. Red Hat hat dem Vorfall die CVE-Nummer CVE-2024-3094 vergeben.
Vorab eine Liste mit weiteren Links:
Dabei wird die Backdoor nur unter bestimmten Bedingungen ausgeführt, wie das FAQ beschreibt. Im Wesentlichen muss argv[0] auf /usr/sbin/sshd gesetzt sein und eine Reihe an Umgebungsvariablen entweder gesetzt oder nicht gesetzt sein. Normalerweise hängt OpenSSH nicht von liblzma ab. Einige Distributoren patchen OpenSSH allerdings so, dass systemd-Notifcations funktioniert, welches wiederum auf liblzma setzt und die Backdoor möglich macht. Technisch werden einige Checks durchgeführt und anschließend mittels IFUNC Bibliotheksaufrufe umgeleitet. Dies betrifft nach aktuellem Stand auch Aufrufe während der Kryptoroutinen bei der SSH-Authentifizierung.
Der Wirkungsweise der Payload ist noch nicht abschließend geklärt. Besonders auch aus diesem Grund wird ein unverzügliches Update angeraten. Im Folgenden einige unverbindliche Faktoren, die eine Verwundbarkeit wahrscheinlich machen. Auf diese Weise kann man priorisieren, welche Systeme zuerst aktualisiert werden sollten.
Versionierte Distros wie z. B. Debian oder RHEL sind nach aktuellem Kenntnisstand mit ihren stabilen Versionen nicht direkt betroffen, da die Versionen 5.6 noch keinen Einzug in das System gefunden haben. Die Testing-Versionen dieser Distros wie z. B. Debian Sid wurden allerdings aktualisiert und sind betroffen.
Rolling-Release-Distros sind naturgemäß auch betroffen, wenn sie schon Version 5.6 in ihre Pakete aufgenommen haben. Dies betrifft zum Beispiel Arch Linux oder Gentoo. Da allerdings einige Distributionen wie Arch Linux OpenSSH nicht gegen liblzma linken, wird die Bibliothek nicht direkt in die Ausführung der Komponenten eingebunden.
Nach aktuellem Stand wird eine Verwundbarkeit besonders kritisch, wenn auf dem betroffenen Host ein öffentlich erreichbarer SSH-Server läuft, da die oben beschriebenen Faktoren ein Laden der Payload auslösen können.
Aufgefallen ist die Backdoor nur durch Zufall durch das Debugging von Performanceproblemen, die durch die Backdoor verursacht wurden. Die Backdoor wurde obfuskiert im Rahmen von Buildskripten untergebracht, sodass aufgrund der Komplexität die Lücken noch nicht direkt aufgefallen sind.
Das Repository hinter xz kann als kompromittiert gesehen werden und ist auch auf GitHub schon gesperrt worden. Auffällig ist, dass die Backdoor in den Tarballs der Releases enthalten war, nicht jedoch im Repository-Dump selber. Auch personell gab es einige Auffälligkeiten, da es vor kurzem einen Maintainerwechsel beim Projekt gab und die Lücken vom neuen Maintainer, der seit 2 Jahren am Projekt mitarbeitet, zumindest begünstigt wurden. Die Art und Weise lässt auch auf ein koordiniertes, von langer Hand geplantes Vorgehen schließen.
Das große Ganze ist ein Paradebeispiel von xkcd 2347 "Dependency". Wir sehen hier Live ein Beispiel einer Supply-Chain-Attacke. Ein kleines, scheinbar unbedeutendendes Projekt wird übernommen, nur um strategisch Commits zu platzieren, die automatisch "flussabwärts" ihren Weg in größere Distributionen finden, die allesamt auf das Projekt setzen. Alles passiert trotz Open Source. Besonders pikant: der Maintainer hat aktiv versucht, die Backdoor-begünstigenden Umgebungsfaktoren, konkret das Umbiegen von Bibliotheksaufrufen mittels ifunc, in Fuzzing-Projekten wie oss-fuzz, die aktiv nach sowas suchen, zu deaktivieren.
Software wird immer bedeutender und benötigt Vertrauen. Dabei ist jetzt schon klar, dass niemand selber solch komplexe Systeme von alleine bauen kann. Aber auch die Kontrolle der Quellen ist eine große Herausforderung. Neue Gesetzgebung wie der geplante Cyber Resilience Act in der EU versuchen in der Industrie Anreize zu schaffen, die Softwarequalität zu erhöhen.
Diese Attacke konnte einigermaßen abgewendet werden, sollte die umfassende Analyse der Payload keine belastenden Neuigkeiten hervorbringen. Eines ist aber auch klar: Die Angreifer studieren das Verhalten der Verteidiger und werden in Zukunft ihre Vorgehensweise dahingehend optimieren, nicht so einfach mehr gefunden zu werden. Es ist also möglich, Backdoors in so ein Ökosystem hineinzuschummeln. Umso besser müssen aber die Identifikations- und Abwehrmöglichkeiten werden, damit solche Angriffe wirksam verhindert werden können.
Das Packprogramm 7-Zip liegt in einer neuen Version vor.
An der TU Graz finden am 05. und 06. April die jährlichen Grazer Linuxtage statt. Die Open-Source-Konferenz steht dabei in diesem Jahr unter dem Motto „Wolkenfrei“.
Immer noch starten einigen Distributionen mit dem altehrwürdigen SysV Init.
Die Programmiersprache Rust liegt in einer neuen Version vor, die mehrere APIs stabilisiert, endgültig das Makro „offset_of!“ einführt, Rekursion in asynchronen Funktionen erlaubt und…
Die beliebte Desktop-Umgebung liegt in einer neuen Version vor, die zwar keine größeren, aber viele nützliche kleinere Änderungen mitbringt.
Die extrem schlanke Distribution frischt in ihrer aktuellen Version vor allem zahlreiche Softwarepakete auf.
Die offizielle Linux-Distribution für den Raspberry Pi liegt in einer neuen Version vor, die in erster Linie Fehler korrigiert und einige Softwarekomponenten aktualisiert.
Der Medien-Player VLC wurde seit seiner ersten Version über fünf Milliarden Mal heruntergeladen.
Die Streaming- und Video-Capture-Software OBS Studio erlaubt in ihrer neuen Version den AV1-Codec in WebRTC/WHIP-Streams und unterstützt High Dynamic Range (HDR) via HEVC-Codec in RTMP-Streams.
Die Firma Cyberus Technologies hat VirtualBox die Zusammenarbeit mit KVM beigebracht.
Hinter dem Namen Niri verbirgt sich ein noch recht junger Wayland-Compositor, der alle offenen Fenster strikt in Spalten anordnet.
Die auf Ubuntu basierende Distribution vereinfacht in ihrer neuen Version die Installation von Windows-Anwendungen.
Anmelden