Beiträge von Clemens23 im Thema „Arch Linux News: The xz package has been backdoored“

Clemens23

Zitat von Bulvai

Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen | heise online
https://heise.de/-9671317

Danke für die Info - das Ausmaß scheint doch sehr groß zu sein.

Mittlerweile ist das Projekt tukaani-project/xz auf Github gesperrt:

tukaani-project/xz

XZ Utils. Contribute to tukaani-project/xz development by creating an account on GitHub.

github.com

Wer die letzten Diskussionen noch nachlesen will findet sie hier:

[Bug]: Upstream compromised? Or is the compromise? · Issue #92 · tukaani-project/xz

I understand why the author(s) of the analysis of the backdoor being distributed by this project decided not to notify upstream first since it looks like…

web.archive.org

Clemens23

Ich habe ein Update gemacht und einige Posts dazu im Arch Forum und auf Reddit gelesen.

Das Fett markierte Paket sollte in Ordnung sein, die beiden anderen kompromittiert.

-rw-r--r-- 1 root root 670202 24. Feb 14:21 xz-5.6.0-1-x86_64.pkg.tar.zst
-rw-r--r-- 1 root root 670566 9. Mär 21:00 xz-5.6.1-1-x86_64.pkg.tar.zst
-rw-r--r-- 1 root root 668772 28. Mär 22:08 xz-5.6.1-2-x86_64.pkg.tar.zst

Clemens23

TL;DR: Upgrade your systems and container images now!

[..] the upstream release tarballs for xz in version 5.6.0 and 5.6.1 contain malicious code which adds a backdoor.

Mehr Infos unter:

Arch Linux - News: The xz package has been backdoored