News Sicherheitslücke in xz: Backdoor in Linux-Archivbibliothek macht Systeme angreifbar

[ghecko]

Ein Glück ist das aufgeflogen. Die haben ganz schön viel Zeit und Mühe investiert um sich da einzuschleichen.

Wenn in WinZip ein Backdoor entdeckt worden wäre

Hier geht es aber nicht um die Kompression von zip-Paketen, sondern um kompromittierte ssh-Verbindungen, wie zb eine root-shell. Sprich Fernzugriff auf root-Ebene.

The malicious versions, researchers said, intentionally interfere with authentication performed by SSH, a commonly used protocol for connecting remotely to systems. SSH provides robust encryption to ensure that only authorized parties connect to a remote system. The backdoor is designed to allow a malicious actor to break the authentication and, from there, gain unauthorized access to the entire system. The backdoor works by injecting code during a key phase of the login process.

https://arstechnica.com/security/20...nux-utility-breaks-encrypted-ssh-connections/
@Kaito Kariheddo
Vllt sollte man im Artikel etwas mehr darauf eingehen, was diese Backdoor genau macht, wie oben beschrieben.

 

[Sweepi]

Tja, jemand wird sich schon die Commits angucken, und Open Source ist sicher, ist damit wohl widerlegt.

Ein billiger Strohmann war gerade nicht zur Hand?

Zumindest der Mensch/die Gruppe hinter diesem Angriff ist nicht deiner Meinung, denn sie haben die entscheidende Payload nicht commited, sondern haben den RedHat/Fedora/Debian/... Maintainern eine spezielle Version gegeben, dessen Buildscript nach dem Bauen aus dem sauberen Sourcecode das Binary gepatched hat...
Warum die Angreifer wohl drauf verzichtet haben, die Backdoor direkt im Sourcecode einzubauen?

 

[mibbio]

@Kaito Kariheddo schöne zusammenfassung, aber

wird alles gross geschrieben

Und dann selber Rechtschreibfehler machen.

Zusammenfassung schreibt man ebenfalls groß und "groß" trotz Rechtschreibreform weiterhin mit ß.

 

[metoer]

Danke für die News! Habe meinen Desktop gerade geupdated, mein Debian NAS hat noch eine ältere Version von xz installiert.

Linux Entwickler gehen einfach viel pragmatischer mit solchen Sicherheitslücken um, bei Microsoft wird erstmal ein paar Wochen im stillen Kämmerlein beratschlagt wie man so eine Sicherheitslücke am besten verkaufen kann um die Shareholder nicht zu verängstigen.

 

[Jesaa]

Zu ldd: Der heise Artikel zum Thema verlinkt ein FAQ, das davon abrät, ldd auf untrusted binaries auszuführen, da dabei unter Umständen Code des Binaries ausgeführt wird. Wusste ich vorher nicht, und frage mich, ob es da so clever ist ldd zu nehmen um zu schauen ob man betroffen ist 🤔.

Vergl.:
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
https://jmmv.dev/2023/07/ldd-untrusted-binaries.html

 

[0x8100]

Und dann selber Rechtschreibfehler machen.

Zusammenfassung schreibt man ebenfalls groß und "groß" trotz neuer Rechtschreibung weiterhin mit ß.

ich schreibe seit accounterstellung 2015 generell lower-case - sieh es als stilmittel an

 

[Photon]

Hier geht es aber nicht um die Kompression von zip-Paketen, sondern um kompromittierte ssh-Verbindungen, wie zb eine root-shell. Sprich Fernzugriff auf root-Ebene.

Klar, ein Backdoor ermöglicht in der Regel mehr als der Anwendungsbereich der kompromittierten Software erahnen lässt. Aber das Backdoor selbst befindet sich ja nicht in Linux (dem Kernel) sondern in der xz Bibliothek.

 

[ghecko]

sondern in der xz Bibliothek.

Die für verschlüsselte ssh-Verbindungen genutzt wird. Unter Linux ist fast alles eine Bibliothek. Das ist eine ganz andere Dimension als nur eine Backdoor in einem Kompressionsalgorithmus mit dem man seine geheimen Sachen vor anderen versteckt.

 

[Photon]

@ghecko Ist mir schon bewusst. Findest du denn, "Linux Backdoor" beschreibt die Lage angemessen? Für mich impliziert es, dass der schadhafte Code im Linux-Kernel sitzt.

 

[Kaito Kariheddo]

Zu ldd: Der heise Artikel zum Thema verlinkt ein FAQ, das davon abrät, ldd auf untrusted binaries auszuführen, da dabei unter Umständen Code des Binaries ausgeführt wird. Wusste ich vorher nicht, und frage mich, ob es da so clever ist ldd zu nehmen um zu schauen ob man betroffen ist 🤔.

Man muss ja openssh nutzen um von dem speziellen Fall betroffen zu sein und ich vermute mal wenn man es nutzt vertraut man dem auch 😅 Aber ich füg gern noch eine Warnung hinzu

 

[sedot]

Würde mich nicht wundern, wenn China dahintersteckt.

Ich glaube Mutmaßungen bringen wenig.

 

[ghecko]

Findest du denn "Linux Backdoor" beschreibt die Lage angemessen?

Da glibc betroffen ist und ssh eine wichtige Funktion des Kernels ist, ja.

 

[MrHeisenberg]

Ohne Open Source hätte dies nicht bemerkt werden können.

Wenn Sicherheitslücken bei closed source nicht bemerkt werden können, wie kommt es dann, dass es trotzdem etliche Sicherheitslücken gibt? Wie kommen Jailbreaks zustande?
Dieser ewige Mythos von "OS ist sicherer" ist absoluter Unfug.

 

[sedot]

@Kaito Kariheddo
Du hast openSUSE falsch geschrieben 😉

 

[Kaito Kariheddo]

Dann folgender Vorschlag: "Backdoor in xz: Lücke in Linux-Archivbibliothek macht Systeme angreifbar"

Guter Vorschlag, hab ihn noch leicht abgewandelt, danke !

 

[LorD-AcE]

...und ssh eine wichtige Funktion des Kernels ist, ja.

Wie kommst du darauf? SSH gehört meines Wissens nach nicht zum Linux-Kernel.
https://de.wikipedia.org/wiki/Secure_Shell

 

[Photon]

Da glibc betroffen ist und ssh eine wichtige Funktion des Kernels ist, ja.

Ich muss gestehen, so langsam wird es mir zu technisch. Aber meiner nicht sehr professionellen Meinung nach ist SSH ein sehr wichtiges und in der Linux-Welt sehr weit verbreitetes Protokoll, jedoch nicht Bestandteil des Kernels. Was glibc angeht, verstehe ich nicht so genau, inwiefern es da mit reinspielt, es scheint mir aber nicht betroffen zu sein, sondern eher notwendig zu sein, um die Nutzung des Backdoors zu ermöglichen. Vielleicht erzähle ich aber auch Mist, kannst mich gerne korrigieren!

Ergänzung (30. März 2024)

Guter Vorschlag, hab ihn noch leicht abgewandelt, danke !

Super, danke!

 

[fommuz]

Ganz ehrlich:

Die FOSS-Welt hat bewiesen, dass sie bei der Suche nach Fehlern und Hintertüren wachsam und proaktiv vorgeht. Das Maß an Transparenz ist hervorragend, insbesondere im Vergleich zu proprietären Softwareunternehmen. Was die FOSS-Welt innerhalb von 24 Stunden nach der Entdeckung des Backdoor-Codes hier erreicht hat, verdient einen Moment der Demut.

Lernen, anpassen, wiederholen.

 

[Skysnake]

eben, nicht die kompromiterten library ist ja in den distubutionen gelandet.

Also meinem Verständnis nach nur in sehr wenigen und nicht so verbreiteten. In RedHat und seinen downstream Varianten z.b. nicht genau wie in Ubuntu. Das ist dann schon eine sehr große Menge die nicht betroffen ist.

 

[ghecko]

Was glibc angeht, verstehe ich nicht so genau, inwiefern es da mit reinspielt, es scheint mir aber nicht betroffen zu sein, sondern eher notwendig zu sein, um die Nutzung des Backdoors zu ermöglichen.

Bei dem Part muss ich dir recht geben:

IFUNC, a mechanism in glibc that allows for indirect function calls,is used to perform runtime hooking/redirection of OpenSSH'sauthentication routines. IFUNC is a tool that is normally used forlegitimate things, but in this case it is exploited for this attackpath.

glibc bietet eine Funktion, die von OpenSSH genutzt wird und die Backdoor zur Injizierung von code in der runtime nutzt.

Grad bei meiner Distri geschaut:

xz bekommt ein update.