Die «xz-Hintertür» gefährdet unzählige Computer weltweit – was wir bisher wissen.

    kim88 hat einen neuen Blog-Artikel erstellt: Die «xz-Hintertür» gefährdet unzählige Computer weltweit – was wir bisher wissen..

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Praxisnahe Einblicke in Self Hosting, Linux und eigene Infrastruktur. Für Entwickler:innen und Macher:innen, die ihre digitale Souveränität selbst in die Hand nehmen. https://rueegger.me

    Wahnsinn, in Krimi im echten Leben.

    Ohne Mist, solche Szenarien befürchte ich seit vielen Jahren und es würde mich nicht wundern wenn das nur die Spitze des Eisberges ist.

    "Wissenschaft ist immer nur der aktuelle Stand des Irrtums."

    Vielen Dank, kim88 . Bis zu deinem Blog-Artikel hatte ich mit "xz" nichts anfangen können ... Heftig.

    Quote

    XZ Utils 5.6.0 and 5.6.1 release tarballs contain a backdoor.

    Damit bin ich unter Arch Linux definitiv betroffen. Aktuell ist xz in der Version 5.6.1 installiert. Die neue Version wurde gerade erst am 28.03.24 ins Repo geladen.

    Ich bin gespannt, wann es einen Fix geben wird ... :/

    Quote from DenalB

    Vielen Dank, kim88 . Bis zu deinem Blog-Artikel hatte ich mit "xz" nichts anfangen können ... Heftig.

    Damit bin ich unter Arch Linux definitiv betroffen. Aktuell ist xz in der Version 5.6.1 installiert. Die neue Version wurde gerade erst am 28.03.24 ins Repo geladen.

    Ich bin gespannt, wann es einen Fix geben wird ... :/

    Ist doch schon

    Commits · main · Arch Linux / Packaging / Packages / xz · GitLab
    Library and command line tools for XZ and LZMA compressed files packages: xz
    gitlab.archlinux.org
    Quote from DenalB

    Ah, dann wurde nicht die Version 5.6.1, sondern der Fix 5.6.1-2 am 28.03.24 ins Repo geladen und installiert.

    Bin gespannt, was die weiteren Analysen noch zum Vorschein bringen. Kann mir nicht vorstellen, dass ein so lang vorbereiteter und aufwendiger Angriff nur einen Weg des Einschleusens nutzt. Deshalb wäre ich vorsichtig zu sagen, dass die Bedrohung durch den aktuellen Patch gebannt ist. Bleibt spannend.

    Mein Homi ist noch lange nicht bei dem Versionsstand ^^ (Debian GNU/Linux 11 (bullseye) x86_64)

    Code
    xz-utils/oldstable,oldstable-security,now 5.2.5-2.1~deb11u1 amd64 [installed]
 XZ-format compression utilities

    ________________________________________________________________________________

    PC | AMD Ryzen 7 3700X - NVIDIA GeForce RTX 2070 Super - 32 GB RAM - 1 TB NVME - 1 TB HDD - ArchLinux

    Lappi | Intel i3 - 16 GB RAM - 128 GB SSD - ArchLinux

    Homi | Intel i3 - 8 GB RAM - 1x 128 GB SSD - 2x 4 TB Seagate IronWolf HDD im RAID1 - Debian 13 mit OMV8 und Docker

    Sorry die Frage, aber wie prüft man ob SSH aktiv wäre? Ich nehme an, das müsste vom Benutzer zuvor installiert, aktiviert werden? Ich frage nur, weil ich Jeans Video gesehen habe wo er zu Debian mit Cinamon gewechselt ist und sein Linux Assistant soweit ich mich erinnern kann, nach der Prüfung SSH anzeigte. Linuxnews schreibt, das Paket sei nicht zu Ubuntu gelangt. Aber wie Sojan sagt, wer weiss was da noch abging. ?(

    ps | grep sshd

    ________________________________________________________________________________

    PC | AMD Ryzen 7 3700X - NVIDIA GeForce RTX 2070 Super - 32 GB RAM - 1 TB NVME - 1 TB HDD - ArchLinux

    Lappi | Intel i3 - 16 GB RAM - 128 GB SSD - ArchLinux

    Homi | Intel i3 - 8 GB RAM - 1x 128 GB SSD - 2x 4 TB Seagate IronWolf HDD im RAID1 - Debian 13 mit OMV8 und Docker

    Mein Debian hat hier: xz-utils/stable,now 5.4.1-0.2 amd64 [Installiert,automatisch]

    Quote from VurtdaFurk

    Sorry die Frage, aber wie prüft man ob SSH aktiv wäre?

    In einer Konsole mit diesem Befehl:

    Code
    systemctl status ssh

    "Wissenschaft ist immer nur der aktuelle Stand des Irrtums."

    Alle, die gerne lieber gestern wie morgen das aktuellste haben wollen, sollten solche Szenarien im Hinterkopf haben.

    Stable und LTS Versionen haben schon was Gutes.;)

    Gut das es dieses Forum und in diesem Fall speziell kim88 (riesengroßen Dank für deinen Artikel,. den sogar ich halbwegs verstanden habe) gibt. :thumbup::thumbup::thumbup::thumbup:

    Aufregend auf alle Fälle! Danke an kim88 für den Artikel!

    Hardware

    terra PC-Micro 6000C GREENLINE von Wortmann AG mit Intel Core i5-1334U / Intel Iris Xe Graphics / SODIMM Samsung M425R2GA3PB0-CWM 2 x 16 GB = 32 GB / WD Red SN700 NVMe SSD 2 x 500 GB = 1 TB / Mainboard Clevo R100AU mit UEFI von insyde Software an LG 27U59 4k Ultra-HD, 27",16:9 / Das Keyboard 6 Pro Kabel / ergoleben VM Maus kabellos - rechts - groß / brother MFC-L2710DN / Fritz!Box 6490 Cable via LAN, 250 MBit Down / 25 MBit Up, Vodafone Kabel Deutschland

    Hallo alle zusammen,

    auch nochmals herzlichen Dank an kim88 für seinen Top-aktuellen Bericht, bzw. für seine aufopfernde Recherche!

    Also ganz ehrlich, mir macht das im Moment schon ein bisschen weiche Knie!

    Deswegen, haltet mich bitte nicht für Paranoid... werde ich, sobald es möglich ist zu Ubuntu 24.04 LTS wechseln.

    Bin halt der Meinung, dass wenn bei einem System oder Distro ein großer Konzern dahinter steht, die Chance das so etwas passiert, eher geringer ist.

    Quote from Hessen-Dieter

    Hallo alle zusammen,

    auch nochmals herzlichen Dank an kim88 für seinen Top-aktuellen Bericht, bzw. für seine aufopfernde Recherche!

    Also ganz ehrlich, mir macht das im Moment schon ein bisschen weiche Knie!

    Deswegen, haltet mich bitte nicht für Paranoid... werde ich, sobald es möglich ist zu Ubuntu 24.04 LTS wechseln.

    Bin halt der Meinung, dass wenn bei einem System oder Distro ein großer Konzern dahinter steht, die Chance das so etwas passiert, eher geringer ist.

    Ubuntu nutzt meines Wissens nach auch nur Code von Debian (unstable). Also die Gefahr besteht dort wahrscheinlich auch...

    System: CPU: Intel I5 14600KF , RAM: 32 GB , GPU: AMD Radeon RX7800XT, OS: Arch KDE Plasma

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login