Problematisch sind scheinbar nur die Version 5.6.0 und 5.6.1. Davor und danach, also schon 5.6.1-2 soll wieder ok sein. So zumindest der momentane Stand.
Die «xz-Hintertür» gefährdet unzählige Computer weltweit – was wir bisher wissen.
-
kim88 -
30. März 2024 um 20:27 -
Erledigt
-
-
m Terminal werden beim Befehl "xz --version" die folgenden Informationen ausgegeben:
xz (XZ Utils) 5.2.5
liblzma 5.2.5Damit bist du nicht vom aktuellen Problem betroffen.
-
Damit bist du nicht vom aktuellen Problem betroffen.
Dank für die Antwort. Jedoch irritiert mich die Meldung über den abgelaufenen Support.
-
Ich kann mir nicht vorstellen, dass du für dieses Paket keine Sicherheitsupdates bekommen wirst. Zumal Ubuntu 22.04 ja noch offiziell supportet wird.
-
aetti wie soll der Handlungsbedarf denn aussehen? Du hast die xz-Version aus dem Jammy-Repo auf Deinem System. Geh doch erst einmal davon aus, dass damit alles Okay ist.
-
aetti wie soll der Handlungsbedarf denn aussehen? Du hast die xz-Version aus dem Jammy-Repo auf Deinem System. Geh doch erst einmal davon aus, dass damit alles Okay ist.
Danke für die Rückmeldung. Gemäss Deiner und derjenigen von DenalB bin ich also auf der "sicheren" Seite.
Mit dem Text "Canonical stellt Aktualisierungen für kritische Fehler von xz-utils bis Sa. Okt. 21 2023 bereit." komme ich nicht ganz klar. Ich interpretiere das so, dass ab dem 21.10.23 Canonical keine Updates für kritische Fehler mehr ausliefert.
-
In den Betriebssystemen wimmelt es von Paketen, die noch nicht einmal mehr Sicherheitspatches bekommen. Da müssen wir mit leben.
-
aetti du hast keinen Handlungsbedarf. Der Backdoor kam nie in in die Ubuntu Repositorys, das ganze ist aufgeflogen bevor es die Ubuntu Entwickler gemerged haben.
ABER, in der Lasche "Details" steht nach einigen Paketinformationen der folgende Eintrag:
Canonical stellt Aktualisierungen für kritische Fehler von xz-utils bis Sa. Okt. 21 2023 bereit.Ich habe keine Ahnung woher "Muon" diese Information bezieht - vielleicht weiss da ja jemand mehr der KDE benutzt? xz-utils gehört zu Ubuntu Main und wird von Canonical bei der 22.04 bis April 2027 mit Updates versorgt. Bei Ubuntu Pro (gibt es für die KDE Version (Kubuntu) nicht) bis April 2032 und mit Ubuntu Legacy (gibt es für Kubuntu ebenfalls nicht) bis April 2034.
-
Bin da total Tiefenentspannt. Solche Dinge erwarte ich inzwischen. Bin beruflich mit Windows unterwegs. Bei Microsoft-Produkten muss man immer wieder mal mit unschönen "Überraschungen" rechnen, vor allem bei Servern wie Exchange und Domänen-Controllern. Immer wieder Spaß pur.
Deshalb habe ich mich privat auf sehr breite Füße gestellt:
- PCs: LMDE, MX Linux, Mageia, Ubuntu, Windows, MacOS, ChromeOS
- NAS: Mehrere Syno und QNAP
- Mobile: iOS, iPadOS, Android
- Zusätzliche Sicherungen in der Cloud und Off-Site mittels USB-FestplattenIrgendetwas wird schon überleben.
Abgesehen davon: Ein PC / NAS ist bei mir immer Baustelle.
>> Edit <<
kim88 auch von mir ein Dankeschön. Habe zwar schon darüber gelesen, aber was es wirklich damit auf sich hatte kam aus diesem Artikel nicht so klar heraus.Finde ich gut auf breitem Fuss zu sein. Online Banksachen erledigen, ist mir wohler auf meinem Mobile als Linux. Die Grätsche zwischen Privacy und Security ist nicht immer einfach.
-
bei mir sieht es wie folgt aus mit Arch
Codexz (XZ Utils) 5.6.1 liblzma 5.6.1 -
Die Grätsche zwischen Privacy und Security ist nicht immer einfach.
Du meinst wohl Komfort und Sicherheit? Privatsphäre und Sicherheit sollten eigentlich Hand in Hand gehen. Ansonsten besteht da wohl ein konzeptionelles Problem.
-
Debian 12.6 wegen xz Backdoor verschobenDebian verschiebt die Aktualisierung auf v12.6 wegen der teils noch ungeklärten Hintergründe von CVE-2024-3094. Zunächst wird das Archiv einer gründlichen…linuxnews.de -
Wie die Computerwelt gerade haarscharf an einer Sicherheitskatastrophe vorbeigeschrammt ist
Nur durch Benchmarks eines einzelnen Programmierers fliegt die über Jahre vorbereitete Unterwanderung von Millionen Systemen auf. Dahinter dürften staatliche Angreifer stehen
Eine sehr schöne Zusammenfassung von Andreas Proschofsky DerStandard.at zu dem Thema.
-
LMDE 6 Faye
Codexz (XZ Utils) 5.4.1 liblzma 5.4.1Mehr Infos mit apt show xz-utils
Code
Alles anzeigen$ apt show xz-utils Package: xz-utils Version: 5.4.1-0.2 Priority: standard Section: utils Maintainer: Jonathan Nieder Installed-Size: 1’255 kB Provides: lzma Depends: libc6 (>= 2.34), liblzma5 (>= 5.4.0) Conflicts: lzma (<< 9.22-1), xz-lzma Breaks: lzip (<< 1.8~rc2), manpages-de (<< 4.17.0-2~bpo11+1), manpages-fr (<< 4.17.0-2~bpo11+1) Replaces: lzip (<< 1.8~rc2), manpages-de (<< 4.17.0-2~bpo11+1), manpages-fr (<< 4.17.0-2~bpo11+1), xz-lzma Homepage: https://tukaani.org/xz/ Tag: implemented-in::c, interface::commandline, role::program, scope::utility, use::checking, use::compressing, use::storing, works-with::archive, works-with::file Download-Size: 471 kB APT-Manual-Installed: yes APT-Sources: http://ftp.ch.debian.org/debian bookworm/main amd64 Packages Description: Komprimierwerkzeuge für das XZ-Format XZ ist der Nachfolger des Lempel-Ziv/Markov-Ketten-Algorithmus-Kompressionsformats, das eine speicherhungrige aber mächtige Komprimierung (oft besser als bzip2) und eine schnelle, einfache Dekomprimierung bietet. . Dieses Paket beinhaltet die Kommandozeilenwerkzeuge, wie xz, unxz, xzcat, xzgrep, usw., um mit der XZ-Komprimierung zu arbeiten. Diese Werkzeuge können auch das ältere Format LZMA verarbeiten und, falls mit einem passenden symbolischen Verweis aufgerufen, das Verhalten der im Paket lzma enthaltenen Befehle emulieren. . Das Format XZ ist vergleichbar mit dem älteren Format LZMA, bietet aber einige Verbesserungen zum generellen Gebrauch: . * »file«-Magie, um XZ-Dateien zu entdecken; * Prüfwertbestimmung mittels CRC64; * eingeschränkte Unterstützung für »Random-Access Reading«; * verbesserte Unterstützung für Multithreading (nicht verwendet in xz-utils); * Unterstützung zum Leeren des Kodierers. -
Gerade werden mir unter Arch Linux neue Updates dazu angeboten.
Codexz 5.6.1-2 -> 5.6.1-3 lib32-xz 5.6.1-2 -> 5.6.1-3War das Hintertürchen vielleicht doch nicht direkt geschlossen worden?
-
wie jetzt ...
schon wieder ??
5.6.1-3 habe ich nicht
-
5.6.1-3 habe ich nicht
Ist erst seit Kurzem als neues Package verfügbar.
-
Ist erst seit Kurzem als neues Package verfügbar.
Danke dir, jetzt habe ich das auch
-
Wenn ich das richtig verstanden habe, wurde Jia Tan mit seinen Keys aus dem letzten Build entfernt. Das hier ist jetzt eine Version mit angepassten Signaturen. Aber vielleicht kann kim88 da Genaueres sagen. Als Info wird "rebuild packages without signature in sync db" angegeben.
-
Gerade werden mir unter Arch Linux neue Updates dazu angeboten.
Codexz 5.6.1-2 -> 5.6.1-3 lib32-xz 5.6.1-2 -> 5.6.1-3War das Hintertürchen vielleicht doch nicht direkt geschlossen worden?
Das Hintertürchen gab es wohl laut aktuellem Stand nicht bei ARCH, das ist hier ganz gut erklärt:
The xz package has been backdoored / Arch Discussion / Arch Linux Forums
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!