Beiträge von Mavalok2 im Thema „Die «xz-Hintertür» gefährdet unzählige Computer weltweit – was wir bisher wissen.“

Zitat von Pascal.m

Warum denkt jeder das Geld die Lösung ist ?

Nicht immer, jeder und in jeder Situation. Aber bei finanziellen Problemen hilft Geld nun mal ungemein.

Zitat von kim88

Wir haben hier ein Problem und das Problem hat bei all diesen grossen bekannten Lücken den selben Namen. Überlastete, unterfinanzierte freiwillige Entwickler.

Und den großen Profit daraus machen überbezahlte Megakonzerne. Finde den Fehler.

Es ist ja bekannt, dass bei Microsoft und Google (und auch anderen Megakonzernen) ein (großer) Teil der Server- / Cloud-Infrastruktur auf Linux bzw. OpenSource läuft. Bei Amazon munkelt man sogar komplett. Und natürlich tun die auch was für Linux und OpenSource-Projekte. Aber steht dies zum Verhältnis zu ihrem Gewinn, den sie daraus ziehen? Schätze, es würde durchaus möglich sein, dass solche Firmen diese unterfinanzierten freiwilligen Entwickler besser finanziell unterstützen könnten, auch ohne dass diese Firmen finanziell Schaden nehmen würden. Ein paar Millionen mehr oder weniger bei diesen Firmen ... Könnte bei solchen Entwicklern aber viel bewirken.
Aber vielleicht sehe ich dies auch nur durch die rosa Brille, als jemand der von Softwareentwicklung keine Ahnung hat.

Zitat von Bulvai

Nach meinem Osterurlaub stand direkt die Version 6.5.1-3 zur Verfügung.

Zahlendreher: Du meinst 5.6.1-3.

Hattest Du denn die betroffene Version überhaupt installiert?

Wer garantiert, dass Microsoft, Adobe, Google, Meta, etc. in ihren Programmen und Diensten nicht absichtlich und wissentlich irgendwelche schönen Dinge eingebaut haben? Nur hier kann niemand mal eben den Source Code durchsehen.

Vielleicht sollten wir die Kirche im Dorf lassen und nicht gleich in paranoide Panik verfallen. Dies wird nicht der erste und nicht der letzte Fall dieser Art sein. Ungute Gesellen hat es immer geben. Und in einer zunehmend technisierten Welt sind auch die böse Buben mit technischen Hilfsmitteln unterwegs. Damit werden wir uns abfinden müssen. Hier hilft nur Vorsicht, so wie früher auch. Aber es steht natürlich jedem frei, zu Microsoft oder Apple zu wechseln, wenn man sich da besser aufgehoben fühlt.
Ich für meine Teil werde auch weiterhin auf der Linux-Schiene bleiben.

Wenn wir schon dabei sind: Das beruhigt mich auch nicht wirklich.

Zitat

Das Fazit der Kommission: Microsoft kann keine Sicherheit! Und schon gar nicht in der eigenen Cloud. Eine "Kaskade" von Fehlern, begangen von Microsofts bzw. dessen Mitarbeitern, ist für den Hack der Microsoft Cloud und der Microsoft Online Exchange-Konten verantwortlich.

Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich

Das US Cyber Safety Review Board hat nun seinen Bericht zum Hack von Microsoft Online Exchange im Sommer 2023 durch die mutmaßlich chinesische Gruppe…

www.borncity.com

Zitat von KTT73

20 Jahre jeden Tag die Bild und du hast Abitur...

Abitur in was?

Zitat von Helmfuss

Die Seiten der BSI zeigen fast nur noch Linuxsysteme an, mit Sicherheitswarnungen.

Klar. Hier werden die Lücken auch noch gefixt und zwar fix. Bei MS geht es z.T. Jahre, wenn sie denn mal Lust haben, oder auch nicht. Und ich könnte mir vorstellen, dass viele Lücken erst gar nicht gemeldet werden. Die werden dann vielleicht einmal still und heimlich gefixt, wenn sie NSA und CIA nicht mehr brauchen.

Zitat von Schabackle

Da muss was passieren, sonst wird die Linuxwelt um Mailen zurück geworfen, sollte so was ähnliches nochmal passieren oder man findet noch mehr im Code dann werden viele Linux-Systeme verlassen.

Wie viele haben Windows / Microsoft verlassen, nach unzähligen Desaster? Eigentlich dürfte Microsoft gar keine Kunden mehr haben.
Aber sind wir ehrlich, es wird hier wie dort auch weiterhin Lücken geben, die es zu schließen gilt. Verbesserungspotential gibt es immer und man muss daran arbeiten. Da ist auch Linux keine Ausnahme. Nur den Kopf in den Sand stecken darf man nicht. Und die "alles ist doch gut" Einstellung, so wie hoffen und beten, ist kein brauchbares Sicherheitskonzept.

Da ich im Terminal schwarzen Text mit weisem Hintergrund verwende, sieht der Codeblock dann eigentlich genauso aus wie bei meinem Terminalfenster. Also spielt es zumindest bei mir keine Rolle ob Screenshot oder Codeblock, also zumindest optisch.

LMDE 6 Faye

xz (XZ Utils) 5.4.1
liblzma 5.4.1

Mehr Infos mit apt show xz-utils

$ apt show xz-utils
Package: xz-utils
Version: 5.4.1-0.2
Priority: standard
Section: utils
Maintainer: Jonathan Nieder
Installed-Size: 1’255 kB
Provides: lzma
Depends: libc6 (>= 2.34), liblzma5 (>= 5.4.0)
Conflicts: lzma (<< 9.22-1), xz-lzma
Breaks: lzip (<< 1.8~rc2), manpages-de (<< 4.17.0-2~bpo11+1), manpages-fr (<< 4.17.0-2~bpo11+1)
Replaces: lzip (<< 1.8~rc2), manpages-de (<< 4.17.0-2~bpo11+1), manpages-fr (<< 4.17.0-2~bpo11+1), xz-lzma
Homepage: https://tukaani.org/xz/
Tag: implemented-in::c, interface::commandline, role::program,
 scope::utility, use::checking, use::compressing, use::storing,
 works-with::archive, works-with::file
Download-Size: 471 kB
APT-Manual-Installed: yes
APT-Sources: http://ftp.ch.debian.org/debian bookworm/main amd64 Packages
Description: Komprimierwerkzeuge für das XZ-Format
 XZ ist der Nachfolger des
 Lempel-Ziv/Markov-Ketten-Algorithmus-Kompressionsformats, das eine
 speicherhungrige aber mächtige Komprimierung (oft besser als bzip2) und
 eine schnelle, einfache Dekomprimierung bietet.
 .
 Dieses Paket beinhaltet die Kommandozeilenwerkzeuge, wie xz, unxz, xzcat,
 xzgrep, usw., um mit der XZ-Komprimierung zu arbeiten. Diese Werkzeuge
 können auch das ältere Format LZMA verarbeiten und, falls mit einem
 passenden symbolischen Verweis aufgerufen, das Verhalten der im Paket lzma
 enthaltenen Befehle emulieren.
 .
 Das Format XZ ist vergleichbar mit dem älteren Format LZMA, bietet aber
 einige Verbesserungen zum generellen Gebrauch:
 .
  * »file«-Magie, um XZ-Dateien zu entdecken;
  * Prüfwertbestimmung mittels CRC64;
  * eingeschränkte Unterstützung für »Random-Access Reading«;
  * verbesserte Unterstützung für Multithreading (nicht verwendet in
    xz-utils);
  * Unterstützung zum Leeren des Kodierers.

Zitat von VurtdaFurk

Die Grätsche zwischen Privacy und Security ist nicht immer einfach.

Du meinst wohl Komfort und Sicherheit? Privatsphäre und Sicherheit sollten eigentlich Hand in Hand gehen. Ansonsten besteht da wohl ein konzeptionelles Problem.

Problematisch sind scheinbar nur die Version 5.6.0 und 5.6.1. Davor und danach, also schon 5.6.1-2 soll wieder ok sein. So zumindest der momentane Stand.

Bei mir auch kein yay installiert. Mit pacman -Q --info lib32-xz  bekommt ein paar Infos mehr.

$ pacman -Q --info lib32-xz                                                                     
Name                     : lib32-xz
Version                  : 5.6.1-2
Beschreibung             : Library and command line tools for XZ and LZMA compressed files (32-bit)
Architektur              : x86_64
URL                      : https://xz.tukaani.org/xz-utils/
Lizenzen                 : GPL  LGPL  custom
Gruppen                  : Nichts
Stellt bereit            : liblzma.so=5-32
Hängt ab von             : lib32-glibc  xz
Optionale Abhängigkeiten : Nichts
Benötigt von             : lib32-libelf  lib32-libtiff  lib32-libunwind  lib32-libxml2  lib32-systemd
Optional für             : Nichts
In Konflikt mit          : Nichts
Ersetzt                  : Nichts
Installationsgröße       : 229.74 KiB
Packer                   : Frederik Schwan
Erstellt am              : Do 28 Mär 2024 23:23:07
Installiert am           : Sa 30 Mär 2024 15:15:37
Installationsgrund       : Installiert als Abhängigkeit eines anderen Pakets
Installations-Skript     : Nein
Verifiziert durch        : Signatur

Ach, das ist das Microsoft- / Windows-Universum. Da ist so etwas üblich und niemand wunder sich.

DenalB
Ja, habe ich gerade selbst festgestellt, dass hier etwas nicht stimmen kann. Der Befehl xz --version scheint die Unterversionen nicht anzuzeigen.

Die Version 5.6.1-2 von der lib32.xz sollte sicher sein, wenn ich dies richtig verstanden habe? Mit xz --version wird bei mir nur 5.6.1 angezeigt. Installiert ist aber 5.6.1-2. Auch die History zeigt ein Upgrade von 5.4.4-1 auf 5.6.1-2 an. Datum ist 28.03.2024 23 Uhr irgendwas, Installation am 30.03.2024. Müsste also sicher sein.

Wird mit xz --version 5.6.1 angezeigt, muss man wohl etwas genau nachsehen.

Bei aktuellem Manjaro hat es mich wohl getroffen.

xz (XZ Utils) 5.6.1
liblzma 5.6.1

Werde die Distro wohl vorübergehend stilllegen.

Mageia 9

xz (XZ Utils) 5.4.3
liblzma 5.4.3

Zitat von Hessen-Dieter

Also ganz ehrlich, mir macht das im Moment schon ein bisschen weiche Knie!

Deswegen, haltet mich bitte nicht für Paranoid...

Bin da total Tiefenentspannt. Solche Dinge erwarte ich inzwischen. Bin beruflich mit Windows unterwegs. Bei Microsoft-Produkten muss man immer wieder mal mit unschönen "Überraschungen" rechnen, vor allem bei Servern wie Exchange und Domänen-Controllern. Immer wieder Spaß pur.

Deshalb habe ich mich privat auf sehr breite Füße gestellt:
- PCs: LMDE, MX Linux, Mageia, Ubuntu, Windows, MacOS, ChromeOS
- NAS: Mehrere Syno und QNAP
- Mobile: iOS, iPadOS, Android
- Zusätzliche Sicherungen in der Cloud und Off-Site mittels USB-Festplatten

Irgendetwas wird schon überleben.

Abgesehen davon: Ein PC / NAS ist bei mir immer Baustelle.

>> Edit <<
kim88 auch von mir ein Dankeschön. Habe zwar schon darüber gelesen, aber was es wirklich damit auf sich hatte kam aus diesem Artikel nicht so klar heraus.