Die «xz-Hintertür» gefährdet unzählige Computer weltweit – was wir bisher wissen.

Zitat von Hessen-Dieter

Also ganz ehrlich, mir macht das im Moment schon ein bisschen weiche Knie!

Deswegen, haltet mich bitte nicht für Paranoid...

Bin da total Tiefenentspannt. Solche Dinge erwarte ich inzwischen. Bin beruflich mit Windows unterwegs. Bei Microsoft-Produkten muss man immer wieder mal mit unschönen "Überraschungen" rechnen, vor allem bei Servern wie Exchange und Domänen-Controllern. Immer wieder Spaß pur.

Deshalb habe ich mich privat auf sehr breite Füße gestellt:
- PCs: LMDE, MX Linux, Mageia, Ubuntu, Windows, MacOS, ChromeOS
- NAS: Mehrere Syno und QNAP
- Mobile: iOS, iPadOS, Android
- Zusätzliche Sicherungen in der Cloud und Off-Site mittels USB-Festplatten

Irgendetwas wird schon überleben.

Abgesehen davon: Ein PC / NAS ist bei mir immer Baustelle.

>> Edit <<
kim88 auch von mir ein Dankeschön. Habe zwar schon darüber gelesen, aber was es wirklich damit auf sich hatte kam aus diesem Artikel nicht so klar heraus.

Zitat von Hessen-Dieter

Bin halt der Meinung, dass wenn bei einem System oder Distro ein großer Konzern dahinter steht, die Chance das so etwas passiert, eher geringer ist.

Fedora ist ebenfalls davon betroffen und da steht Red Hat dahinter ... Also so ganz stimme ich dir nicht zu.

Zitat von DenalB

Fedora ist ebenfalls davon betroffen und da steht Red Hat dahinter ... Also so ganz stimme ich dir nicht zu.

Hast Du natürlich auch wieder recht, aber vielleicht findet man den Fehler etwas früher

Ist halt diese elende Hilflosigkeit, wenn man sich mit der Materie so gut wie gar nicht auskennt....

Zitat von Perval

Ubuntu nutzt meines Wissens nach auch nur Code von Debian (unstable). Also die Gefahr besteht dort wahrscheinlich auch...

Zitat

Er hat ebenfalls versucht die Version mit dem Backdoor noch in das kommende Ubuntu 24.04 LTS Release zu bringen. Was er aber nicht mehr geschafft hat. Mehr dazu hier.

Quelle ist der Artikel von kim88:

Blog-Artikel

Die «xz-Hintertür» gefährdet unzählige Computer weltweit – was wir bisher wissen.

Es müssen immer die Feiertage. Im Dezember gab es die "Log4j" Sicherheitslücke die unzählige Server und Computer weltweit massiv gefährdet hat.

Anwendungsentwickler und Systemadministratoren hatten damals ein stressiges Weihnachtsfest. Nun haben sie stressige Ostern.

Gestern wurde bekannt, dass die "xz" Bibliothek einen Backdoor enthält.

Was ist "xz"?

Viele von euch werden sich fragen: Was zur Hölle ist xz? Nunja xz ist ein Kompressionsformat, ähnlich wie ZIP oder RAR - mit dem Unterschied das xz…

kim88

30. März 2024 um 20:27

So weit ich mich erinnere: Laut diesem Web Video von Brodie Robertson wurde der Backdoor gefunden weil er nicht richtig funktionierte und jemand versucht hat es zu fixen, ohne zu wissen das es ein Backdoor ist. Dann ist es aufgefallen.

The XZ Linux Backdoor Is Incredibly BAD!!

Of all the times for a massive vulnerability to come out did it have to be over the Easter Weekend, I just wanted to take a break and here we are talking about…

odysee.com

(Auch ein Youtube Link befindet sich in der Videobeschreibung)

Mich hat nun interessiert, welche Version der" XZ-Kompressionstools" bei mir unter Ubuntu Desktop 22. 04 Pro rennt.

Mit folgendem Befehl lässt sich das ermitteln:

xz --version 

Ergibt bei mir:

xz (XZ Utils) 5.2.5
liblzma 5.2.5

"Betroffen sind die vor einem Monat respektive drei Wochen erschienenen Versionen 5.6.0 und 5.6.1 von xz-utils. Der bösartige Code findet sich in den Quellcode-Tarballs und ist nicht in den öffentlichen Git-Repositories enthalten."

Quelle: https://linuxnews.de/kompromittiert…a-und-opensuse/

Unter Ubuntu 24.04

xz (XZ Utils) 5.4.5
liblzma 5.4.5

Mageia 9

xz (XZ Utils) 5.4.3
liblzma 5.4.3

Bei aktuellem Manjaro hat es mich wohl getroffen.

xz (XZ Utils) 5.6.1
liblzma 5.6.1

Werde die Distro wohl vorübergehend stilllegen.

MX

xz (XZ Utils) 5.4.1
liblzma 5.4.1

Zitat von Mavalok2

Bei aktuellem Manjaro hat es mich wohl getroffen.

Ich denke nicht. Bei mir sieht es auch so aus:

[denalb@PROMETHEUS-Archlinux ~]$ xz --version
xz (XZ Utils) 5.6.1
liblzma 5.6.1

Es ist aber die Version 5.6.1-2 installiert, wie im Repository angezeigt. Mir wird unter Arch Linux nämlich kein Update angezeigt, obwohl es am 28.03.24 erschienen ist.

Wie kann man sich denn die detaillierte Versionsinfo anzeigen lassen?

DenalB
Ja, habe ich gerade selbst festgestellt, dass hier etwas nicht stimmen kann. Der Befehl xz --version scheint die Unterversionen nicht anzuzeigen.

Die Version 5.6.1-2 von der lib32.xz sollte sicher sein, wenn ich dies richtig verstanden habe? Mit xz --version wird bei mir nur 5.6.1 angezeigt. Installiert ist aber 5.6.1-2. Auch die History zeigt ein Upgrade von 5.4.4-1 auf 5.6.1-2 an. Datum ist 28.03.2024 23 Uhr irgendwas, Installation am 30.03.2024. Müsste also sicher sein.

Wird mit xz --version 5.6.1 angezeigt, muss man wohl etwas genau nachsehen.

Es ist gut, dass es aufgefallen ist und es seit glaube vorgestern Nacht durch die News geht. Aber bei den Fails der bei Microsoft Azure und so läuft, Spricht man wenig (leider):

Erfolgreicher Hackerangriff auf Microsoft Cloud – Microsoft reagiert (endlich)

Es war eine Nachricht mit Gänsehaut-Faktor: Die Microsoft Cloud wurde im Zeitraum Mitte Mai bis Mitte Juni erfolgreich von Hackern angegriffen. Die chinesische…

www.datenschutz-notizen.de

Microsoft: Hacker stehlen wichtigen Sicherheitsschlüssel

Mit einem gestohlenen Sicherheitsschlüssel konnten sich Angreifer Zugriff auf die Microsoft-Cloud verschaffen. Die Folgen sind massiv.

www.zdf.de

Hacker-Angriff auf Microsoft hält offenbar weiter an | MDR.DE

Der im Januar bekannt gewordenen Hacker-Angriff auf Microsoft läuft nach Ansicht von Experten immer noch. Hinter dem Angriff soll der russische…

www.mdr.de

Ach, das ist das Microsoft- / Windows-Universum. Da ist so etwas üblich und niemand wunder sich.

Zitat von jg_on_tux

Es ist gut, dass es aufgefallen ist und es seit glaube vorgestern Nacht durch die News geht. Aber bei den Fails der bei Microsoft Azure und so läuft, Spricht man wenig (leider):

https://www.datenschutz-notizen.de/erfolgreicher-…ndlich-1344013/

https://www.zdf.de/nachrichten/pa…hacker-100.html

https://www.mdr.de/nachrichten/de…luecke-100.html

Auch wenn du Recht hast, lass uns bitte im Thema bleiben.

Mit yay -S xz bekomme ich übrigens die besagte Version als installiert bestätigt.

core/xz 5.6.1-2 (653.1 KiB 2.5 MiB) (Installiert)

Zitat von Stardenver

Mit yay -S xz bekomme ich übrigens die besagte Version als installiert bestätigt.

Stimmt. Geht auch mit sudo pacman -S xz, falls man kein yay nutzt.

[denalb@PROMETHEUS-Archlinux ~]$ sudo pacman -S xz
[sudo] Passwort für denalb: 
Warnung: xz-5.6.1-2 ist aktuell -- Reinstalliere

ich nutze bauh im arch linux kde plasma. Wenn ich bauh öffne und dort xz ins Suchfeld eingebe, sehe ich, welche xz Version bei mir installiert ist. Man sieht da also mehr also via xz --version in der Konsole eingeben.

Wenn man dann im bauh rechts auf das Fragezeichen Symbol klickt, sieht man noch genauer die Infos, was man installiert hat.

siehe Foto:
in meinem Fall also 5.6.1-2 = was wohl, wenn ich es richtig verstehe, alles gut ist und kein Grund mehr zur Sorge!

in der konsole.

[abc@archlinux ~]$ yay -S xz
Sync Dependency (1): xz-5.6.1-2
[sudo] Passwort für abc: 

Zitat von ghostbox

alles gut ist und kein Grund mehr zur Sorge!

Zumindest bei dem, was wir wissen.

Bei mir auch kein yay installiert. Mit pacman -Q --info lib32-xz  bekommt ein paar Infos mehr.

$ pacman -Q --info lib32-xz                                                                     
Name                     : lib32-xz
Version                  : 5.6.1-2
Beschreibung             : Library and command line tools for XZ and LZMA compressed files (32-bit)
Architektur              : x86_64
URL                      : https://xz.tukaani.org/xz-utils/
Lizenzen                 : GPL  LGPL  custom
Gruppen                  : Nichts
Stellt bereit            : liblzma.so=5-32
Hängt ab von             : lib32-glibc  xz
Optionale Abhängigkeiten : Nichts
Benötigt von             : lib32-libelf  lib32-libtiff  lib32-libunwind  lib32-libxml2  lib32-systemd
Optional für             : Nichts
In Konflikt mit          : Nichts
Ersetzt                  : Nichts
Installationsgröße       : 229.74 KiB
Packer                   : Frederik Schwan
Erstellt am              : Do 28 Mär 2024 23:23:07
Installiert am           : Sa 30 Mär 2024 15:15:37
Installationsgrund       : Installiert als Abhängigkeit eines anderen Pakets
Installations-Skript     : Nein
Verifiziert durch        : Signatur

Ich bin ein fröhlicher KUBUNTU Benutzer mit der Version (gemäss den Systemeinstellungen):
Betriebssystem: Kubuntu 22.04
KDE-Plasma-Version: 5.24.7
KDE-Frameworks-Version: 5.92.0
Qt-Version: 5.15.3
Kernel-Version: 5.15.0-101-generic (64-bit)
Grafik-Plattform: X11
Prozessoren: 8 × Intel® Core™ i7-1065G7 CPU @ 1.30GHz
Speicher: 15.3 GiB Arbeitsspeicher
Grafikprozessor: Mesa Intel® Iris® Plus Graphics

Natürlich bin ich auch ein braver "Aktualisierer" sobald dazu die Aufforderung erscheint!

Jetzt zum Thread und den vielen Informationen.
Irgendwie habe ich wohl das mit den Versionen nicht so ganz begriffen.

Hier einige Angaben meinerseits:

Im Terminal werden beim Befehl "xz --version" die folgenden Informationen ausgegeben:
xz (XZ Utils) 5.2.5
liblzma 5.2.5

In der Muon-Paketverwaltung "Technische Details" ist das Paket "xz-utils" als installiert aufgeführt.
- Installierte Version: 5.2.5-2ubuntu1
ABER, in der Lasche "Details" steht nach einigen Paketinformationen der folgende Eintrag:
Canonical stellt Aktualisierungen für kritische Fehler von xz-utils bis Sa. Okt. 21 2023 bereit.

Bin ich im falschen Film bzw. soll in den Sternen lesen, dass auf meinem geliebten System veraltete und/oder fehlerhafte Software ist?

Kann mir bitte jemand mitteilen ob Handlungsbedarf besteht?