Die «xz-Hintertür» gefährdet unzählige Computer weltweit – was wir bisher wissen.

  • kim88 hat einen neuen Blog-Artikel erstellt: Die «xz-Hintertür» gefährdet unzählige Computer weltweit – was wir bisher wissen..

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • Wahnsinn, in Krimi im echten Leben.

    Ohne Mist, solche Szenarien befürchte ich seit vielen Jahren und es würde mich nicht wundern wenn das nur die Spitze des Eisberges ist.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

  • Vielen Dank, kim88 . Bis zu deinem Blog-Artikel hatte ich mit "xz" nichts anfangen können ... Heftig.

    Quote

    XZ Utils 5.6.0 and 5.6.1 release tarballs contain a backdoor.

    Damit bin ich unter Arch Linux definitiv betroffen. Aktuell ist xz in der Version 5.6.1 installiert. Die neue Version wurde gerade erst am 28.03.24 ins Repo geladen.

    Ich bin gespannt, wann es einen Fix geben wird ... :/

    Arch Linux | Gnome | Kernel 6.8.7-arch1-1

    MSI MAG X570 Tomahawk WIFI | AMD Ryzen 9 3900X | 2x 16 GB G.Skill RipJaws V DDR4-3200 | Sapphire NITRO+ AMD Radeon RX 7800 XT | Seasonic Prime PX-750 80+ Platinum

  • Vielen Dank, kim88 . Bis zu deinem Blog-Artikel hatte ich mit "xz" nichts anfangen können ... Heftig.

    Damit bin ich unter Arch Linux definitiv betroffen. Aktuell ist xz in der Version 5.6.1 installiert. Die neue Version wurde gerade erst am 28.03.24 ins Repo geladen.

    Ich bin gespannt, wann es einen Fix geben wird ... :/

    Ist doch schon

    Commits · main · Arch Linux / Packaging / Packages / xz · GitLab
    Library and command line tools for XZ and LZMA compressed files packages: xz
    gitlab.archlinux.org
  • Ist doch schon

    Ah, dann wurde nicht die Version 5.6.1, sondern der Fix 5.6.1-2 am 28.03.24 ins Repo geladen und installiert.

    Danke für die Aufklärung!

    Arch Linux | Gnome | Kernel 6.8.7-arch1-1

    MSI MAG X570 Tomahawk WIFI | AMD Ryzen 9 3900X | 2x 16 GB G.Skill RipJaws V DDR4-3200 | Sapphire NITRO+ AMD Radeon RX 7800 XT | Seasonic Prime PX-750 80+ Platinum

  • Ah, dann wurde nicht die Version 5.6.1, sondern der Fix 5.6.1-2 am 28.03.24 ins Repo geladen und installiert.

    Bin gespannt, was die weiteren Analysen noch zum Vorschein bringen. Kann mir nicht vorstellen, dass ein so lang vorbereiteter und aufwendiger Angriff nur einen Weg des Einschleusens nutzt. Deshalb wäre ich vorsichtig zu sagen, dass die Bedrohung durch den aktuellen Patch gebannt ist. Bleibt spannend.

  • Mein Homi ist noch lange nicht bei dem Versionsstand ^^ (Debian GNU/Linux 11 (bullseye) x86_64)

    Code
    xz-utils/oldstable,oldstable-security,now 5.2.5-2.1~deb11u1 amd64 [installed]
     XZ-format compression utilities

    PC | AMD Ryzen 7 3700X - NVIDIA GeForce RTX 2070 Super - 32 GB RAM - 1 TB NVME - 2 TB HDD - ArchLinux

    Lappi | Intel I3 - 16 GB RAM - 128 GB SSD - ArchLinux

    Homi | Intel Atom 3 - Intel Grafik - 4 GB RAM - 1x 128 GB SSD - 2x 4 TB Seagate IronWolf HDD im RAID - Debian 11 mit OMV 6

    ________________________________________________________________________________

    RADIO TEAM BAWÜ - Wir haben Spaß an Musik!!!

  • Sorry die Frage, aber wie prüft man ob SSH aktiv wäre? Ich nehme an, das müsste vom Benutzer zuvor installiert, aktiviert werden? Ich frage nur, weil ich Jeans Video gesehen habe wo er zu Debian mit Cinamon gewechselt ist und sein Linux Assistant soweit ich mich erinnern kann, nach der Prüfung SSH anzeigte. Linuxnews schreibt, das Paket sei nicht zu Ubuntu gelangt. Aber wie Sojan sagt, wer weiss was da noch abging. ?(

  • ps | grep sshd

    PC | AMD Ryzen 7 3700X - NVIDIA GeForce RTX 2070 Super - 32 GB RAM - 1 TB NVME - 2 TB HDD - ArchLinux

    Lappi | Intel I3 - 16 GB RAM - 128 GB SSD - ArchLinux

    Homi | Intel Atom 3 - Intel Grafik - 4 GB RAM - 1x 128 GB SSD - 2x 4 TB Seagate IronWolf HDD im RAID - Debian 11 mit OMV 6

    ________________________________________________________________________________

    RADIO TEAM BAWÜ - Wir haben Spaß an Musik!!!

  • Mein Debian hat hier: xz-utils/stable,now 5.4.1-0.2 amd64 [Installiert,automatisch]

    Sorry die Frage, aber wie prüft man ob SSH aktiv wäre?

    In einer Konsole mit diesem Befehl:

    Code
    systemctl status ssh

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

  • In einer Konsole mit diesem Befehl:

    Dürfte bei mir nicht aktiviert sein ...
    Unit ssh.service could not be found.

    Arch Linux | Gnome | Kernel 6.8.7-arch1-1

    MSI MAG X570 Tomahawk WIFI | AMD Ryzen 9 3900X | 2x 16 GB G.Skill RipJaws V DDR4-3200 | Sapphire NITRO+ AMD Radeon RX 7800 XT | Seasonic Prime PX-750 80+ Platinum

  • Alle, die gerne lieber gestern wie morgen das aktuellste haben wollen, sollten solche Szenarien im Hinterkopf haben.

    Stable und LTS Versionen haben schon was Gutes.;)

    Bevor du mit dem Kopf durch die Wand willst, frage dich, was du im Nebenzimmer willst!

  • Alle, die gerne lieber gestern wie morgen das aktuellste haben wollen, sollten solche Szenarien im Hinterkopf haben.

    Ich bleibe trotzdem dabei ... ;)

    Arch Linux | Gnome | Kernel 6.8.7-arch1-1

    MSI MAG X570 Tomahawk WIFI | AMD Ryzen 9 3900X | 2x 16 GB G.Skill RipJaws V DDR4-3200 | Sapphire NITRO+ AMD Radeon RX 7800 XT | Seasonic Prime PX-750 80+ Platinum

  • Hallo alle zusammen,

    auch nochmals herzlichen Dank an kim88 für seinen Top-aktuellen Bericht, bzw. für seine aufopfernde Recherche!

    Also ganz ehrlich, mir macht das im Moment schon ein bisschen weiche Knie!

    Deswegen, haltet mich bitte nicht für Paranoid... werde ich, sobald es möglich ist zu Ubuntu 24.04 LTS wechseln.

    Bin halt der Meinung, dass wenn bei einem System oder Distro ein großer Konzern dahinter steht, die Chance das so etwas passiert, eher geringer ist.

  • Hallo alle zusammen,

    auch nochmals herzlichen Dank an kim88 für seinen Top-aktuellen Bericht, bzw. für seine aufopfernde Recherche!

    Also ganz ehrlich, mir macht das im Moment schon ein bisschen weiche Knie!

    Deswegen, haltet mich bitte nicht für Paranoid... werde ich, sobald es möglich ist zu Ubuntu 24.04 LTS wechseln.

    Bin halt der Meinung, dass wenn bei einem System oder Distro ein großer Konzern dahinter steht, die Chance das so etwas passiert, eher geringer ist.

    Ubuntu nutzt meines Wissens nach auch nur Code von Debian (unstable). Also die Gefahr besteht dort wahrscheinlich auch...

    System: CPU: Intel I5 14600KF , RAM: 32 GB , GPU: AMD Radeon RX7800XT, OS: Ubuntu 23.10

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!