Warnung
Bösartiger Code in „xz“ Bibliotheken gefährdet Fedora Linux-Nutzer
Bildquelle: https://www.bsi.bund.de/
30. März 2024 – In einem aktuellen Sicherheitsbericht wurde festgestellt, dass die neuesten Versionen der „xz“-Tools und Bibliotheken bösartigen Code enthalten, der anscheinend dazu bestimmt ist, unbefugten Zugriff zu ermöglichen. Konkret ist dieser Code in den Versionen 5.6.0 und 5.6.1 der Bibliotheken vorhanden. Fedora Linux 40-Benutzer könnten je nach Zeitpunkt der Systemupdates die Version 5.6.0 erhalten haben. Fedora Rawhide-Benutzer könnten die Versionen 5.6.0 oder 5.6.1 erhalten haben. Diese Sicherheitslücke wurde CVE-2024-3094 zugeordnet.
Die betroffenen Versionen von Fedora Linux sind noch nicht kompromittiert worden. Es wird angenommen, dass die bösartige Code-Injektion in diesen Versionen nicht wirksam wurde. Dennoch sollten Fedora Linux 40-Benutzer aus Sicherheitsgründen auf eine 5.4-Version downgraden. Ein Update, das xz auf 5.4.x zurücksetzt, wurde kürzlich veröffentlicht und steht den Benutzern von Fedora Linux 40 über das normale Updatesystem zur Verfügung.
Was ist xz?
„Xz“ ist ein Datenkomprimierungsformat, das in nahezu jeder Linux-Distribution, sowohl in Gemeinschaftsprojekten als auch in kommerziellen Produktverteilungen, vorhanden ist. Es hilft im Wesentlichen dabei, große Dateiformate in kleinere, handlichere Größen zu komprimieren (und dann zu dekomprimieren), um sie über Dateiübertragungen zu teilen.
Was ist der bösartige Code?
Die bösartige Injektion in den xz-Versionen 5.6.0 und 5.6.1-Bibliotheken ist verschleiert und wird nur im vollständigen Download-Paket mitgeliefert. Die Git-Distribution fehlt das M4-Makro, das den Build des bösartigen Codes auslöst. Die Artefakte der zweiten Stufe sind im Git-Repository für die Injektion während der Build-Zeit vorhanden, falls das bösartige M4-Makro vorhanden ist.
Das resultierende bösartige Build stört die Authentifizierung in sshd über systemd. SSH ist ein häufig verwendetes Protokoll zum Remote-Zugriff auf Systeme, und sshd ist der Dienst, der den Zugriff ermöglicht. Unter bestimmten Umständen könnte diese Störung einem bösartigen Akteur potenziell ermöglichen, die SSH-Authentifizierung zu umgehen und unbefugten Zugriff auf das gesamte System aus der Ferne zu erhalten.
Welche Distributionen sind von diesem bösartigen Code betroffen?
Derzeitige Untersuchungen deuten darauf hin, dass die Pakete nur in Fedora 40 und Fedora Rawhide innerhalb des Red Hat-Community-Ökosystems vorhanden sind. Es gibt Berichte und Beweise dafür, dass die Injektionen erfolgreich in den xz 5.6.x-Versionen gebaut wurden, die für Debian unstable (Sid) entwickelt wurden. Andere Distributionen könnten ebenfalls betroffen sein. Benutzer anderer Distributionen sollten ihre Distributoren um Rat fragen.
Was soll ich tun, wenn ich eine betroffene Distribution verwende?
Für persönliche und geschäftliche Aktivitäten sollten Sie sofort die Verwendung von Fedora 40 oder Fedora Rawhide einstellen, bis Sie Ihre xz-Version downgraden können. Wenn Sie eine betroffene Distribution in einem geschäftlichen Umfeld verwenden, empfehlen wir Ihnen, sich an Ihr Informationssicherheitsteam zu wenden, um weitere Schritte zu besprechen.
Darüber hinaus hat SUSE für diejenigen, die openSUSE-Distributionen ausführen, ein Downgrade-Verfahren unter https://build.opensuse.org/request/show/1163302 veröffentlicht.
Quellen:
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Downloads:
Teilen Sie den Beitrag: