Die weitverbreiteten Datenkompressionswerkzeuge XZ Utils (früher LZMA Utils) enthalten in Version 5.6 eine Backdoor. Ziel der Backdoor ist nach aktuellem Kenntnisstand eine Kompromittierung von SSH-Servern. Dies wurde gestern auf der oss-security-Mailingliste von Andres Freund nebst einer umfangreichen Analyse des Sachverhalts bekannt gegeben. Durch den Einsatz der Werkzeuge in Linux-Distributionen haben wir hier einen Fall einer Supply-Chain-Attacke. Red Hat hat dem Vorfall die CVE-Nummer CVE-2024-3094 vergeben.

Vorab eine Liste mit weiteren Links:

• Stellungsnahmen von verschiedenen Distributoren
  • Arch Linux
  • Debian
  • Red Hat
  • SUSE
• FAQ
• Hacker-News-Diskussion
• Zeitleiste

Wirkungsweise

Dabei wird die Backdoor nur unter bestimmten Bedingungen ausgeführt, wie das FAQ beschreibt. Im Wesentlichen muss argv[0] auf /usr/sbin/sshd gesetzt sein und eine Reihe an Umgebungsvariablen entweder gesetzt oder nicht gesetzt sein. Normalerweise hängt OpenSSH nicht von liblzma ab. Einige Distributoren patchen OpenSSH allerdings so, dass systemd-Notifcations funktioniert, welches wiederum auf liblzma setzt und die Backdoor möglich macht. Technisch werden einige Checks durchgeführt und anschließend mittels IFUNC Bibliotheksaufrufe umgeleitet. Dies betrifft nach aktuellem Stand auch Aufrufe während der Kryptoroutinen bei der SSH-Authentifizierung.

Betroffenheit

Der Wirkungsweise der Payload ist noch nicht abschließend geklärt. Besonders auch aus diesem Grund wird ein unverzügliches Update angeraten. Im Folgenden einige unverbindliche Faktoren, die eine Verwundbarkeit wahrscheinlich machen. Auf diese Weise kann man priorisieren, welche Systeme zuerst aktualisiert werden sollten.

Versionierte Distros wie z. B. Debian oder RHEL sind nach aktuellem Kenntnisstand mit ihren stabilen Versionen nicht direkt betroffen, da die Versionen 5.6 noch keinen Einzug in das System gefunden haben. Die Testing-Versionen dieser Distros wie z. B. Debian Sid wurden allerdings aktualisiert und sind betroffen.

Rolling-Release-Distros sind naturgemäß auch betroffen, wenn sie schon Version 5.6 in ihre Pakete aufgenommen haben. Dies betrifft zum Beispiel Arch Linux oder Gentoo. Da allerdings einige Distributionen wie Arch Linux OpenSSH nicht gegen liblzma linken, wird die Bibliothek nicht direkt in die Ausführung der Komponenten eingebunden.

Nach aktuellem Stand wird eine Verwundbarkeit besonders kritisch, wenn auf dem betroffenen Host ein öffentlich erreichbarer SSH-Server läuft, da die oben beschriebenen Faktoren ein Laden der Payload auslösen können.

Wie kam es?

Aufgefallen ist die Backdoor nur durch Zufall durch das Debugging von Performanceproblemen, die durch die Backdoor verursacht wurden. Die Backdoor wurde obfuskiert im Rahmen von Buildskripten untergebracht, sodass aufgrund der Komplexität die Lücken noch nicht direkt aufgefallen sind.

Das Repository hinter xz kann als kompromittiert gesehen werden und ist auch auf GitHub schon gesperrt worden. Auffällig ist, dass die Backdoor in den Tarballs der Releases enthalten war, nicht jedoch im Repository-Dump selber. Auch personell gab es einige Auffälligkeiten, da es vor kurzem einen Maintainerwechsel beim Projekt gab und die Lücken vom neuen Maintainer, der seit 2 Jahren am Projekt mitarbeitet, zumindest begünstigt wurden. Die Art und Weise lässt auch auf ein koordiniertes, von langer Hand geplantes Vorgehen schließen.

Einfluss und Folgen

Das große Ganze ist ein Paradebeispiel von xkcd 2347 "Dependency". Wir sehen hier Live ein Beispiel einer Supply-Chain-Attacke. Ein kleines, scheinbar unbedeutendendes Projekt wird übernommen, nur um strategisch Commits zu platzieren, die automatisch "flussabwärts" ihren Weg in größere Distributionen finden, die allesamt auf das Projekt setzen. Alles passiert trotz Open Source. Besonders pikant: der Maintainer hat aktiv versucht, die Backdoor-begünstigenden Umgebungsfaktoren, konkret das Umbiegen von Bibliotheksaufrufen mittels ifunc, in Fuzzing-Projekten wie oss-fuzz, die aktiv nach sowas suchen, zu deaktivieren.

Software wird immer bedeutender und benötigt Vertrauen. Dabei ist jetzt schon klar, dass niemand selber solch komplexe Systeme von alleine bauen kann. Aber auch die Kontrolle der Quellen ist eine große Herausforderung. Neue Gesetzgebung wie der geplante Cyber Resilience Act in der EU versuchen in der Industrie Anreize zu schaffen, die Softwarequalität zu erhöhen.

Diese Attacke konnte einigermaßen abgewendet werden, sollte die umfassende Analyse der Payload keine belastenden Neuigkeiten hervorbringen. Eines ist aber auch klar: Die Angreifer studieren das Verhalten der Verteidiger und werden in Zukunft ihre Vorgehensweise dahingehend optimieren, nicht so einfach mehr gefunden zu werden. Es ist also möglich, Backdoors in so ein Ökosystem hineinzuschummeln. Umso besser müssen aber die Identifikations- und Abwehrmöglichkeiten werden, damit solche Angriffe wirksam verhindert werden können.

Um sicher mit Linux umzugehen, ist eine Kombination aus Lernen und praktischer Erfahrung erforderlich. Das würden die meisten Lehrbücher Dir sagen. Ich sehe das anders. Denn das wichtigste sind meiner Erfahrung nach nur der Wille und die richtige Lebenseinstellung. Wir gehen in diesem Beitrag mal die wichtigsten Punkte durch und danach gebe ich Dir meinen...

Der Beitrag Wie Du richtig gut wirst mit Linux – Diese Zutat benötigst Du erschien zuerst auf MichlFranken.

Nutzer von Ubuntu und Derivaten wie Linux Mint konnten immer auf das praktische und offizielle Kodi PPA zurückgreifen. Damit konntest Du neuere und weniger verfälschte Versionen von Kodi installieren und nutzen. Allerdings wird das Kodi PPA nun leider eingestellt. Der Aufwand ist laut eigenen Angaben zu hoch. Das Team bedankt sich bei wsnipex, der das PPA so viele Jahre lang gewartet und unzähligen Nutzern unermüdlich zur Verfügung gestellt hat. Nutzt Du das PPA, dann bekommst Du ab sofort also keine […]

Der Beitrag Kodi stellt offizielles Ubuntu PPA ein – Flatpak als Ersatz ist von bitblokes.de.

The Document Foundation hat gleich zwei Bugfix-Releases gemeinsam veröffentlicht. Das sind genauer gesagt LibreOffice 24.2.2 Community sowie LibreOffice 7.6.6 Community. Beides sind Wartungsversionen, die Bugs ausbessern, um die Qualität und Kompatibilität zu verbessern. Bei LibreOffice 24.2.2 wurden insgesamt 77 Bugs ausgebessert. Du findest beide Versionen ab sofort im Download-Bereich der Projektseite. TDF rät allen Usern, sobald wie möglich zu aktualisieren. Bezüglich Betriebssysteme benötigst Du mindestens Microsoft Windows 7 SP1 und Apple macOS 10.15. Bei Linux kommt es darauf an, ob […]

Der Beitrag LibreOffice 24.2.2 Community und 7.6.6 veröffentlicht ist von bitblokes.de.

Es gab schon diverse ziemlich übersichtliche Updates für Tails (The Amnesic Incognito Live System). Das Changelog für Tails 6.1 ist ebenfalls kurz. Der Screenshot fasst wirklich alle Änderungen und Neuerungen zusammen. Der Tor Browser wurde auf 13.0.13 aktualisiert und Thunderbird ist nun in Version 115.9.0 enthalten. Ende der Durchsage. Laut Changelog hat das Entwickler-Team allerdings auch einige Bugs ausgebessert, die ziemlich nervig klingen. Ich bin auf keinen dieser Bugs gestoßen, aber gut, dass das nicht mehr der Fall sein kann. […]

Der Beitrag Tails 6.1 – Update für Tor Browser ist von bitblokes.de.

Canonical, das Unternehmen hinter der beliebten Linux-Distribution Ubuntu, hat eine spannende Ankündigung gemacht, die seine Benutzerbasis und insbesondere seine Unternehmenskunden erfreuen wird. Obwohl die Ankündigung jetzt kommt, gilt sie nicht nur für aktuelle oder das kommende LTS System. Vorweg angekündigt wurde die Verlängerung von Mark Shuttlewoth in einem Interview. Ab Ubuntu 14.04 LTS verlängert Canonical...

Der Beitrag Canonical führt 12-jährige Unterstützung für Ubuntu LTS ein erschien zuerst auf MichlFranken.

Canonical hat eine Erweiterung für Ubuntu Pro angekündigt, die sich Legacy Support nennt. Damit erweitert sich der Support für LTS-Versionen auf 12 Jahre. Das Add-on wird für Ubuntu 14.04 LTS und später verfügbar sein. Per Standard werden LTS-Versionen 5 Jahre lang mit Security-Updates unterstützt. Dank Ubuntu Pro bekommst Du bis zu 10 Jahre Support – sowohl für das Haupt- als auch für das Universe-Repository. Abonnenten von Ubuntu Pro können nun auch das neue Legacy Support nutzen, um damit zwei weitere […]

Der Beitrag Canonical erweitert Langzeitunterstützung (LTS) auf 12 Jahre ist von bitblokes.de.

Ich bin alt genug, um das Original des Point-and-click Adventures Simon the Sorcerer zu kennen. Nun gibt es bald eine Neuauflage und Simon the Sorcerer Origins wird für Linux, Mac und Windows erscheinen. Möglich macht es das Team von Smallthing Studios. Das Spiel wird bald auf Steam erscheinen. Bei Simon the Sorcerer Origins handelt es sich um ein Prequel. Es sieht wirklich gut aus und das Video macht Lust auf mehr. Es ist bereits 30 Jahre her, dass Simon sein […]

Der Beitrag Simon the Sorcerer Origins – bald auch für Linux ist von bitblokes.de.

Zorin OS 17 hat kürzlich sein erstes Point-Release veröffentlicht, das zahlreiche Verbesserungen und Neuerungen mit sich bringt. Was alles an Verbesserungen und Neuerungen im Gepäck sind, darum gehts in diesem Beitrag. Zorin OS 17.1 basiert auf Ubuntu 22.04 LTS und integriert stellenweise neuere Pakete wie eine aktuellere Version von GNOME Shell. Es ist bekannt für...

Der Beitrag Zorin OS 17.1 im Test erschien zuerst auf MichlFranken.

GNOME 46 “Kathmandu” wurde veröffentlicht, wobei die Desktop-Umgebung für GNU/Linux-Systeme zahlreiche neue Funktionen, Verbesserungen und aktualisierte Apps bietet. Zu den Highlights zählen die Unterstützung für headless Remote-Desktops, die es ermöglicht, sich ohne bestehende Sitzung remote mit dem GNOME-System zu verbinden, sowie die Möglichkeit, die variable Bildwiederholfrequenz des Monitors anzupassen. Das Update beinhaltet auch eine überarbeitete...

Der Beitrag Gnome Shell 46 veröffentlicht erschien zuerst auf MichlFranken.

Die extrem schlanke Distribution 4MLinux frischt in ihrer aktuellen Version 45.0 vor allem zahlreiche Softwarepakete auf.

Die extrem schlanke Distribution frischt in ihrer aktuellen Version vor allem zahlreiche Softwarepakete auf.

Für die nächsten digiKam-Veröffentlichungen sucht das digiKam-Team Fotos für digiKam- und Showfoto-Splash-Screens. Damit kann jeder zum digiKam-Projekt beitragen, der gute oder interessante Fotos macht. Das Team gibt an, dass die Fotos gut komponiert und richtig belichtet sein müssen. Das Motiv sollte zudem etwas Besonderes sein und der Inspiration eines echten Fotografen entstammen. Du musst außerdem beachten, dass bei den aktuellen Splashes einen horizontaler Rahmen am unteren Rand des Bildes einfügt wird. Du kannst Dir auf dieser Seite Inspiration holen oder […]

Der Beitrag digiKam sucht Beiträge zum Splash-Screen ist von bitblokes.de.

Ab sofort kannst Du Tor Browser 13.0.12 für Linux, Android, Windows und macOS benutzen. Verwendest Du eine relativ aktuelle Version der Software, aktualisiert sie sich automatisch. Bei mir hat das jedenfalls funktioniert. Die neueste Version bringt wichtige Updates für Firefox. Der Mozilla Browser ist die Basis. Unter Linux, Windows und macOS basiert Tor Browser 13.0.12 auf Firefox 115.9esr. Unter Android wurde GeckoView auf 115.9.0esr aktualisiert. Entfernung der automatischen Priorisierung von .onion-Websites in Tor Browser 13.0.12 Das Tor-Projekt wurde kürzlich auf […]

Der Beitrag Tor Browser 13.0.12 ist veröffentlicht ist von bitblokes.de.

Im April 2024 wird es die neue LTS-Version von Ubuntu geben – Ubuntu 24.04 LTS Noble Numbat. Nun wurde das offizielle Wallpaper vorgestellt und es ist königlich. In Sachen Farben gibt es keine Überraschungen. Das Team zieht den roten Faden der vergangenen Wallpaper durch und das Logo oder Maskottchen ist in der Mitte. Für das offizielle Wallpaper gibt es wie immer auch farbliche Varianten, die heller, dunkler und weniger farbenfroh sind. Ubuntu 24.04 LTS ist, wie der Name bereits verrät, […]

Der Beitrag Ubuntu 24.04 LTS Noble Numbat offizielles Wallpaper veröffentlicht ist von bitblokes.de.

Mein Raspberry Pi 5 ist wirklich schnell und macht richtig Spaß. Bisher bin ich auch auf keine Probleme gestoßen und alle Software, die ich benutze, funktioniert. Nun habe ich allerdings angefangen, diverse VPNs auf dem Pi 5 mit Raspberry Pi OS Bookworm (Debian 12) zu testen und ExpressVPN hat gestreikt. Ich habe folgenden Fehler bekommen (bei der Desktop-Version): expressvpn: error while loading shared libraries: libresolv.so.2: ELF load command address/offset not page-aligned Zunächst dachte ich, dass das Problem an einer falschen […]

Der Beitrag ExpressVPN funktioniert nicht unter Raspberry Pi 5 – die Lösung ist von bitblokes.de.

Ab sofort darfst Du LibreELEC 12 Beta 1 testen. Die spezielle Linux-Distribution (JeOS – Just enough Operating System) bringt Kodi 21 Omega mit sich. Ebenso an Bord ist Linux-Kernel 6.6. Mit dem neuen Release-Zyklus hat das Entwickler-Team viele Geräte auf 64-Bit umgestellt. Dazu gehören auch die Versionen für Raspberry Pi 5 und 4. Benutzt Du Widevine DRM (erforderlich für verschiedene kopiergeschützte Video-Add-ons wie Prime Video, Netflix und so weiter) auf einem dieser Geräte und führst ein Upgrade von LibreELEC 11 […]

Der Beitrag LibreELEC 12 Beta 1 – besser auf Raspberry Pi 5 und Kodi 21 ist von bitblokes.de.

Gestern, am 16.03.2024, habe ich die Chemnitzer Linux-Tage besucht. Für mich sind die CLT immer das Highlight des Jahres. Da ich meist nicht an beiden Tagen vor Ort sein kann, schaue ich mir das Programm im Vorfeld genau an und plane meinen Ausflug.

Themen wie Finanzen und Börse faszinieren mich, deshalb wollte ich natürlich einen der ersten Vorträge „Jeder Meter zählt – Linux @ Deutsche Börse“ nicht verpassen. Das Kurse und Handel über eine Linux-Infrastuktur ermittelt bzw. abgewickelt werden, war interessant zu hören. Erst Latenzen von < 1ms des Trading-Systems machen den sogenannten Hochfrequenzhandel der Börse möglich. Dieser Vortrag erlaubte einen Blick aus einer etwas anderen Perspektive auf den Handelsplatz Frankfurt der Deutschen Börse.

Ein weiterer spannender Vortrag war, „Wie funktioniert ChatGPT? Gibt es das auch als Open Source?„. Hier konnte man etwas über Ideen und Grundlagen des jetzigen Stands der Künstlichen Intelligenz hören, z.B. wie Algorithmen aufgebaut sind und Fragen von ChatGPT abgearbeitet werden. Auch ein kleiner Ausblick in die von Nvidia dominierte Hardware wurde gewagt.

Den interessantesten Vortrag hielt wie immer Prof. Klaus Knopper mit „Ransomware-Angriffe abwehren mit Linux und Open Source„. Dieses Mal wurde nicht das neue Knoppix vorgestellt, sondern es wurde ein aktuelles Thema, wie die erfolgreiche Ransomeware-Attacke auf die Universität Heidelberg, aufgegriffen. Interessant war die Herangehensweise einer Datenrettung nach solch einem Vorfall.

Ein weiterer sehr informativer Vortrag „Sichere Datenhaltung und Backup in der Cloud“ bestärkte mich in meinem Handeln im Umgang mit meinen eigenen Daten, auf dem richtigen Weg zu sein.

Der für mich letzte Vortrag des Tages hatte den Titel „Static Website am Beispiel Hugo„. Hier bekam ich einen kleinen Eindruck in die freie Software Hugo zur Erzeugung statischer Webseiten. Ich muss ganz ehrlich zugeben, dass ich mir Hugo an dieser stelle sehr viel einfacher vorgestellt hatte. Jedoch bin ich der Meinung, dass sich viele Sachen ganz selbstverständlich erschließen, sobald ich das System tatsächlich einmal produktiv einsetzen würde. Diesen Selbstversuch werde ich sicher demnächst einmal wagen.

Am Ende des Tages gab noch einen Tux und dann ging es nach Hause.

In ein paar Themen konnte ich heute via Stream noch hinein hören bzw. schauen. Ein Großteil der Vorträge wird demnächst über die Webseite chemnitzer.linux-tage.de verfügbar sein.

Ab sofort kannst Du die Open-Source-Fotoverwaltungs-Software digiKam 8.3 herunterladen. Es gibt 250 Bugfixes, aber auch interessante Neuerungen. Es gibt etwa ein Tool, womit Du Fotos und Bildern automatisch Tags zuweisen kannst. Dafür wird ein neuronales Netzwerk für Deep Learning benutzt. Du findest hier genaue Details zu dieser Funktion. Du findest die Funktion unter Extras > Wartung > Auto tags. Die Funktion mit dem automatischen Zuordnen von Tags ist auch im QueueManager verfügbar. Ebenso gibt es im QueueManager ein neues Tool, […]

Der Beitrag digiKam 8.3 – Tags mit KI automatisch hinzufügen ist von bitblokes.de.

Wenn ich an meine eigenen Anfänge in der Linux-Welt zurückdenke, erinnere ich mich an die Neugier und den Wunsch, mehr über die Open-Source-Gemeinschaft zu erfahren. Als jemand, der diese Reise bereits vor über 20 Jahren gemacht hat, betrachte ich heute die zahlreichen Distros mit einem Wissen um ihre Vielfalt und Unterschiede. In diesem Artikel möchte...

Der Beitrag Hätte ich das gewusst als ich zu Linux wechselte erschien zuerst auf MichlFranken.

Das Team hinter Proton Mail hat eine Desktop-App für Linux, macOS und Windows veröffentlicht. Benutzt Du eine E-Mail-Adresse von Proton, dann musst Du ab sofort keinen Webbrowser mehr benutzen, wenn Du das nicht möchtest. Du kannst Deine E-Mails nun mit der neuen Desktop-App empfangen, lesen und versenden. Mit der App bekommst Du auch den Zugriff auf den Kalender. Ich bin mir absolut sicher, dass die technisch versierten Leser dieses Blog Proton kennen. Das Unternehmen wurde von Leuten ins Leben gerufen, […]

Der Beitrag Proton Mail Desktop-App – auch für Linux verfügbar ist von bitblokes.de.

Im Hause openSUSE geht es langsam auf Leap 15.6 zu. Die entsprechende Beta Version ist nun veröffentlicht worden und kann ab sofort ausprobiert werden. Basierend auf SUSE Linux Enterprise 15 Service Pack 6 konzentriert sich die Beta von Leap 15.6 auf Stabilität und bietet volle Kompatibilität mit dem Enterprise Linux-Release. Dies macht sie zu einer...

Der Beitrag Beta Version von openSUSE Leap 15.6 veröffentlicht erschien zuerst auf MichlFranken.

KeePassXC 2.7.7 wurde als neues Wartungsupdate der KeePassXC 2.7-Serie der beliebten, kostenlosen und plattformübergreifenden Passwort-Manager-Anwendung auf Open-Source Basis veröffentlicht. Die neue Version unterstützt den Import von Passwörtern in den Formaten 1Password 1PUX und Bitwarden (sowohl unverschlüsselt als auch verschlüsselt), USB-Hotplug-Unterstützung für die Hardware-Schlüsselfunktion und grundlegende Unterstützung für PassKeys (WebAuthn). Darüber hinaus wurden Sicherheitsverbesserungen eingeführt, um...

Der Beitrag KeePassXC 2.7.7 veröffentlicht erschien zuerst auf MichlFranken.

Knapp zweieinhalb Monate seit der Veröffentlichung von Zorin OS 17 wurde nun das erste Point-Release mit interessanten Gepäck veröffentlicht. Die neuesten Verbesserungen wird ab sofort über mit den gewöhnlichen Aktualisierungen verteilt. Das Zorin OS 17-Betriebssystem hat seit seiner Veröffentlichung vor etwas mehr als zwei Monaten bereits über eine halbe Million Downloads verzeichnet, wobei mehr als...

Der Beitrag Erstes Point-Release: Zorin OS 17.1 erschienen erschien zuerst auf MichlFranken.

Linus Torvalds kündigte die Veröffentlichung des Linux-Kernels 6.8 an, der mehrere neue Funktionen und Verbesserungen enthält. Zu den Highlights gehören die LAM-Virtualisierung und die Gast-Speicherunterstützung für KVM, ein grundlegender Online-Dateisystem-Check für Bcachefs, Unterstützung für den Broadcom BCM2712-Prozessor im Raspberry Pi 5, AMDs Wi-Fi-Band RFI-Mitigierungsfunktion (WBRF), zswap Writeback-Deaktivierung, Fscrypt-Unterstützung für CephFS und ein neuer Intel Xe...

Der Beitrag Linux Kernel 6.8 veröffentlicht erschien zuerst auf MichlFranken.