Siduction Forum

Siduction Forum => Upgrade Warnings => Topic started by: devil on 2024/03/29, 19:01:33

Title: Attention! Malicious Software in testing and sid
Post by: devil on 2024/03/29, 19:01:33

The package xz-utils,  respectively liblzma as part of that package is compromised: The xz compromise only affects testing/sid users, as it was introduced in xz-utils v5.6.0. The scope of the compromise is currently unknown. If you are affected, at minimum upgrade the package, and consider restoring from known good backups. https://www.openwall.com/lists/oss-security/2024/03/29/4

As a first measure to check whether a system is infected, you can download the script detect.sh from the bottom of https://www.openwall.com/lists/oss-security/2024/03/29/4, make it executable and run it with sudo ./detect_sh.bin. I got the following result: probably not vulnerable. Besides that, it seems like a good idea to deactivate SSH and only activate it when needed.

More information will likely turn up within a day or so. If the script finds your system most likely not vulnerable, I would wait until tomorrow. If the script returns that you are infected, I would consider reinstalling from backup. You have to decide, the available information is too thin for a clear recommendation. On https://testbuilds.siduction.org/ we have uploaded fresh images with a fixed  xz-utils  5.6.1+really5.4.5-1, should someone feel the need to reinstall. We will keep you informed, as soon as we know more.

----
Das Paket xz-utils bzw. liblzma als Teil dieses Pakets ist kompromittiert: Die xz-Kompromittierung betrifft nur testing/sid-Benutzer, da sie in xz-utils v5.6.0 eingeführt wurde. Das Ausmaß der Kompromittierung ist derzeit unbekannt. Wenn du betroffen bist, solltest du zumindest das Paket auf xz-utils  5.6.1+really5.4.5-1 aktualisieren und eine Wiederherstellung von bekannt guten Backups in Betracht ziehen. https://www.openwall.com/lists/oss-security/2024/03/29/4

Als erste Maßnahme zur Überprüfung, ob ein System infiziert ist, kannst du das Skript detect.sh am Ende von https://www.openwall.com/lists/oss-security/2024/03/29/4 herunterladen, es ausführbar machen und mit sudo ./detect_sh.bin ausführen. Ich habe folgendes Ergebnis erhalten: probably not vulnerable. Es scheint in jedem Fall eine gute Idee zu sein, SSH auszuschalten wenn es nicht benötigt wird.

Weitere Informationen werden wahrscheinlich in den nächsten Tagen auftauchen. Wenn das Skript feststellt, dass dein System wahrscheinlich nicht angreifbar ist, würde ich persönlich bis morgen warten. Wenn das Skript feststellt, dass du (vermutlich) infiziert bist, würde ich eine Neuinstallation vom Backup in Betracht ziehen. Entscheiden müsst ihr, die verfügbaren Informationen sind zu dünn für eine klare Empfehlung. Auf https://testbuilds.siduction.org/ liegen frische ISOs mit einem gefixten  xz-utils  5.6.1+really5.4.5-1. Wir halten euch auf dem Laufenden, sobald wir mehr wissen.

Title: Re: Attention! Malicious Software in testing and sid
Post by: hendrikL on 2024/03/30, 00:08:53

https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

Title: Re: Attention! Malicious Software in testing and sid
Post by: Balou on 2024/03/30, 01:01:23

Na, auf das Osterei hätten wir gerne verzichtet. Bin gespannt auf die Hintergründe. So ganz habe ich noch nicht alles verstanden
bin noch am übersetzen von diversen Quellen.
Klar, ist das Ausmaß noch offen. Aber müßte nicht ein SSH Zugang gegeben sein? Oder alles noch Glaskugel leserei?
Ich habe keinen offenen SSH Zuganng, bin auf der 5.6.1+really5.4.5-1. Mein Rechner ist aus.
Also eine Schlaflose Nacht habe ich nicht.

Balou

Title: Re: Attention! Malicious Software in testing and sid
Post by: vinzv on 2024/03/30, 01:43:58

Die Hintergründe sind noch weitgehend unklar. Was aber bisher so bekannt ist klingt nach einem wirklich groß und langfristig angelegten Angriffsversuch: https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Title: Re: Attention! Malicious Software in testing and sid
Post by: pit on 2024/03/30, 12:08:08

Zitat aus einem Heise-Artikel:

Quote

Der Finder der Hintertür hat ein Bash-Skript geschrieben, um eine potentiell anfällige liblzma-Version auf dem eigenen System zu finden. Es bietet zwar keine vollständige Sicherheit, jedoch einen ersten Anhaltspunkt.

Quelle:
https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html (https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html)

Script:
https://raw.githubusercontent.com/cyclone-github/scripts/main/xz_cve-2024-3094-detect.sh (https://raw.githubusercontent.com/cyclone-github/scripts/main/xz_cve-2024-3094-detect.sh)

Title: Re: Attention! Malicious Software in testing and sid
Post by: edlin on 2024/03/30, 12:40:57

Code: [Select]

doas ./xz_cve-2024-3094-detect.sh
Checking system for CVE-2024-3094 Vulnerability...
https://nvd.nist.gov/vuln/detail/CVE-2024-3094

Checking for function signature in liblzma...
Function signature in liblzma: OK

Checking xz version...
xz version 5.4.5: OKssh ist aus, hoffen wir mal, dass die weitere Analyse keine schlimmeren Überraschungen bringt.

edlin

Title: Re: Attention! Malicious Software in testing and sid
Post by: devil on 2024/03/30, 17:38:59

Die Hoffnung stribt zuletzt. Der Typ hat auch im massig anderen Projekten Code eingebracht:
»That actor is involved in so many PR/commits/review in openssl and systemd, protobuf-c. llvms, util-linux. torvalds/linux, make-ca, cpython, curl, libxcrypt, dosbox-x, rust…
16 repo contributed to this year, 47 repos in 2023, 38 in 2024.
Some of his PRs are reviewed in conjunction with xen0n or xry111 is reviewing PRs from him. xen0n has contributed 36 repos this year, 101 in 2023 and 136 in 2024.

Da kann noch einiges auf uns zukommen.

Title: Re: Attention! Malicious Software in testing and sid
Post by: Geier0815 on 2024/03/31, 14:33:12

Ist das der Grund warum es seit gestern keinerlei neue Pakete mehr gibt?

Ah, ok, wer auf der richtigen Seite sucht, der findet auch:

Quote from: https://micronews.debian.org/2024/1711830544.html

CVE-2024-3094 concerning a backdoor exploit in XZ Utils 5.6.0 and 5.6.1 releases are currently being analyzed, for the moment we have paused Archive processing. We will advise as soon as possible. For more reading and information: https://tukaani.org/xz-backdoor/

Title: Re: Attention! Malicious Software in testing and sid
Post by: hsp on 2024/03/31, 14:50:22

Ja genau. dinstall steht im Augenblick...

...

Title: Re: Attention! Malicious Software in testing and sid
Post by: devil on 2024/03/31, 18:59:41

…und am nächsten Wochenende gibt es Debian 12.6.

Title: Re: Attention! Malicious Software in testing and sid
Post by: devil on 2024/04/01, 07:00:30

Debian 12.6 ist zunächst mal auf unbestimmte Zeit verschoben. Eine Tiefenanalyse der Debian Repositories soll klären, inwieweit die xz Backdoor an anderer Stelle Spuren hinterlassen hat.

Title: Re: Attention! Malicious Software in testing and sid
Post by: edlin on 2024/04/01, 11:29:56

In dem Zusammenhang stellt sich mir auch die Frage, wie man im Moment mit Aktualisierungen umgehen sollte. Momentan biedern sich bei mir gerade 117 Pakete an. Kann man darauf vertrauen, dass die Pakete clean sind?

edlin

Title: Re: Attention! Malicious Software in testing and sid
Post by: Balou on 2024/04/01, 13:22:21

Quote from: edlin on 2024/04/01, 11:29:56

Kann man darauf vertrauen, dass die Pakete clean sind?

Im Moment neige ich dazu dass was aktuell angeboten für clean zu halten. Okay mit dem Stand der Informationen die man jetzt hat.
Ein Problem ist bekannt und bevor man jetzt eine Aktualisierung freigibt kann man auf die Schwachstelle prüfen.
Aber war das jetzt alles oder nur die Spitze des Eisbergs? Das ist nicht eine Sicherlücke weil schlecht programmiert wurde, hier wurde mit krimineller Energie eine Backdoor eingebaut. Da schleicht sich mir ein Gedanke ein ob wir nicht alle schon ein "Ostergeschenk" uns eingefangen haben, nur noch nicht entdeckt.

Wenn das Vertrauen fehlt, zu einen OS wechseln was nach Stand der Dinge nicht betroffen ist?

Balou

Title: Re: Attention! Malicious Software in testing and sid
Post by: Fellfrosch on 2024/04/01, 14:25:34

Quote from: Balou on 2024/04/01, 13:22:21

Wenn das Vertrauen fehlt, zu einen OS wechseln was nach Stand der Dinge nicht betroffen ist?

Wohin willst Du denn wechseln? Die Alternativen sind ja endlich. Winows und Mac sind für mich per se nicht wirklich als vertrauenswürdig zu bezeichnen. Was bleibt denn da noch, wenn man das Vertrauen in Linux verloren hat? FreeBSD? Unix? FreeDOS?

Einfach ein Systemd-freies Linux zu nutzen ist ja auch keine Alternative, wenn ich generell das Vertrauen in das System verloren habe. Schadcode kann ja letztendlich überall untergebracht werden, es spielt keine Rolle ob closed oder open source, völlig egal, welches init System.

Die einzige wirklich sichere Alternative ist in meinen Augen, den Stecker zu ziehen.   
Nein, ein Systemwechsel kommt für mich aktuell nicht in Frage. Es bleibt zu hoffen, dass man sich sicherheitsrelevante Projekte nochmals genau anschaut und man, falls in der Vergangenheit schonmal was eingebaut wurde, das dann auch findet. 

Title: Re: Attention! Malicious Software in testing and sid
Post by: edlin on 2024/04/01, 16:01:51

Ich persönlich schiebe auch keine Paranoia und habe auch aktualisiert. Ich gehe davon aus, dass zumindest im aktuellen Fall, der Weckschrei laut genug war und die Aktualisierungen entsprechend gründlich vorbereitet werden.
Ein (absolut) sicheres Betriebssystem gibt es nicht. Software wird von Menschen geschaffen und die machen auch mal Fehler oder bauen Fehler ein, egal aus welchen Interessen. Und KI „lernt“ aus diesen Fehlern ...

Bleibt am Ende des Tages nicht mehr viel übrig: Ein Atari 800 XL oder ein Sinclair ZX Spectrum? Oder doch lieber ein Z80 Eigenbau (siehe Sprut: https://www.sprut.de/misc/sp04_1.jpg (https://www.sprut.de/misc/sp04_1.jpg)) mit FORTH? Oder ein K1003 von robotron (den U808 hab ich selbst noch in Maschinencode für einen Messplatz programmiert und die Hardware erweitert)?

Wenn man sich für Debian/Sid entscheidet, dann sollte man wissen, dass man halt auch der Erste in der Schlange am Schafott ist. Den Preis habe ich mehrere Jahrzehnte lang in Kauf genommen und die Vorzüge von Sid und OSS genossen. Und ich werde das auch weiterhin!

edlin

Title: Re: Attention! Malicious Software in testing and sid
Post by: dibl on 2024/04/01, 16:11:47

Quote from: edlin on 2024/04/01, 16:01:51

Wenn man sich für Debian/Sid entscheidet, dann sollte man wissen, dass man halt auch der Erste in der Schlange am Schafott ist. Den Preis habe ich mehrere Jahrzehnte lang in Kauf genommen und die Vorzüge von Sid und OSS genossen. Und ich werde das auch weiterhin!

edlin

+1

Title: Re: Attention! Malicious Software in testing and sid
Post by: mrfloppy74 on 2024/04/01, 17:51:00

"Ich persönlich schiebe auch keine Paranoia und habe auch aktualisiert."

Ich frage mich aber, ob es Sinn macht, das System neu zu installieren?

Ssh war zwar aktiv aber durch den Router / Firewall von außen nicht erreichbar.

In den Logfiles sehe ich ebenfalls keine Zugriffsversuche von außen.

Nach dem Fund habe ich ssh erstmal deaktiviert.

Title: Re: Attention! Malicious Software in testing and sid
Post by: edlin on 2024/04/01, 18:10:51

Quote from: mrfloppy74 on 2024/04/01, 17:51:00

Ich frage mich aber, ob es Sinn macht, das System neu zu installieren?

Welchen Sinn sollte eine Neuinstallation machen? Wenn du aus den offiziellen Isos von Siduction installierst, bist du auf dem Stand von September 2023. Machst du danach ein full-upgrade, bist du auf dem gleichen Stand wie vorher. Wenn du mehr Wert auf Stabilität und Sicherheit legst, musst du dir schon Debian/Stable oder eine gleichwertige Distri installieren.

Viel wichtiger ist wohl ein aktuelles Backup der Daten und einiger Konfigurationsdateien. Ein neues Siduction ist im Fall der Fälle schnell aufgesetzt.

edlin

Title: Re: Attention! Malicious Software in testing and sid
Post by: finotti on 2024/04/02, 23:37:34

This appears in my Google News: https://www.bleepingcomputer.com/news/security/new-xz-backdoor-scanner-detects-implant-in-any-linux-binary/amp/  It refers to this scanner for vulnerability: https://xz.fail/ 

Does anyone know if it is trustworthy?  I had never heard of binarly...

Edit: I suppose it does not matter, as certainly Debian's versions should be fine.

Title: Re: Attention! Malicious Software in testing and sid
Post by: sotnik on 2024/04/04, 11:04:15

I do not know the consequences of the problem. But I would like to say that in recent days I have noticed for a very short period of time the CPU going to 100% for no apparent reason. Also, the illuminated keyboard flashes (again for no apparent reason.
I don't know if it is related to the problem but I am reporting it.

Title: Re: Attention! Malicious Software in testing and sid
Post by: Penyelam on 2024/04/04, 17:30:21

Auch Spiegel berichtet darüber.
Dieser Link kann 10 mal geöfnet weden:
https://www.spiegel.de/netzwelt/web/hintertuer-in-xz-knapp-am-computer-gau-vorbei-a-32ea6693-7ff7-4825-8dcb-b2dbbfe8c30c?giftToken=8eac8fc4-7dd0-4db9-b697-7994189cf2ff

Title: Re: Attention! Malicious Software in testing and sid
Post by: michaa7 on 2024/04/04, 22:39:45

Ich war vermutlich der 11. Klicker ...  >:(

Hier kann man es auch 10+ mal anklicken .... (https://archive.is/JPEH5)

Title: Re: Attention! Malicious Software in testing and sid
Post by: bad_aptitude on 2024/04/24, 23:10:53

To upgrade or not to upgrade - that is the question!

I haven't performed a distribution-upgrade since last December :-\ and so I still have xz-utils 5.4.5-0.3 installed.
Am I better off  delaying performing a distribution-upgrade or is it more risky having my siduction installation becoming too stale?

Title: Re: Attention! Malicious Software in testing and sid
Post by: eriefisher on 2024/04/25, 00:49:31

Your installations is already stale. The upgrade will be huge. I would do a complete back up then proceed. You really should be upgrading at least once or twice a week. Things can move fast in sid.

Title: Re: Attention! Malicious Software in testing and sid
Post by: bad_aptitude on 2024/04/25, 07:04:47

Mine is a personal desktop setup and so not as mission critical.
 I usually upgrade every 2 months (after a complete backup)
             - longer when things are crazy such as new Debian or new KDE [ or new malware  ;) ].
Indeed updates are huge; but for the past 18 years Apt has handled them gracefully.