Siduction Forum > Upgrade Warnings
Attention! Malicious Software in testing and sid
devil:
The package xz-utils, respectively liblzma as part of that package is compromised: The xz compromise only affects testing/sid users, as it was introduced in xz-utils v5.6.0. The scope of the compromise is currently unknown. If you are affected, at minimum upgrade the package, and consider restoring from known good backups. https://www.openwall.com/lists/oss-security/2024/03/29/4
As a first measure to check whether a system is infected, you can download the script detect.sh from the bottom of https://www.openwall.com/lists/oss-security/2024/03/29/4, make it executable and run it with sudo ./detect_sh.bin. I got the following result: probably not vulnerable. Besides that, it seems like a good idea to deactivate SSH and only activate it when needed.
More information will likely turn up within a day or so. If the script finds your system most likely not vulnerable, I would wait until tomorrow. If the script returns that you are infected, I would consider reinstalling from backup. You have to decide, the available information is too thin for a clear recommendation. On https://testbuilds.siduction.org/ we have uploaded fresh images with a fixed xz-utils 5.6.1+really5.4.5-1, should someone feel the need to reinstall. We will keep you informed, as soon as we know more.
----
Das Paket xz-utils bzw. liblzma als Teil dieses Pakets ist kompromittiert: Die xz-Kompromittierung betrifft nur testing/sid-Benutzer, da sie in xz-utils v5.6.0 eingeführt wurde. Das Ausmaß der Kompromittierung ist derzeit unbekannt. Wenn du betroffen bist, solltest du zumindest das Paket auf xz-utils 5.6.1+really5.4.5-1 aktualisieren und eine Wiederherstellung von bekannt guten Backups in Betracht ziehen. https://www.openwall.com/lists/oss-security/2024/03/29/4
Als erste Maßnahme zur Überprüfung, ob ein System infiziert ist, kannst du das Skript detect.sh am Ende von https://www.openwall.com/lists/oss-security/2024/03/29/4 herunterladen, es ausführbar machen und mit sudo ./detect_sh.bin ausführen. Ich habe folgendes Ergebnis erhalten: probably not vulnerable. Es scheint in jedem Fall eine gute Idee zu sein, SSH auszuschalten wenn es nicht benötigt wird.
Weitere Informationen werden wahrscheinlich in den nächsten Tagen auftauchen. Wenn das Skript feststellt, dass dein System wahrscheinlich nicht angreifbar ist, würde ich persönlich bis morgen warten. Wenn das Skript feststellt, dass du (vermutlich) infiziert bist, würde ich eine Neuinstallation vom Backup in Betracht ziehen. Entscheiden müsst ihr, die verfügbaren Informationen sind zu dünn für eine klare Empfehlung. Auf https://testbuilds.siduction.org/ liegen frische ISOs mit einem gefixten xz-utils 5.6.1+really5.4.5-1. Wir halten euch auf dem Laufenden, sobald wir mehr wissen.
hendrikL:
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
Balou:
Na, auf das Osterei hätten wir gerne verzichtet. Bin gespannt auf die Hintergründe. So ganz habe ich noch nicht alles verstanden
bin noch am übersetzen von diversen Quellen.
Klar, ist das Ausmaß noch offen. Aber müßte nicht ein SSH Zugang gegeben sein? Oder alles noch Glaskugel leserei?
Ich habe keinen offenen SSH Zuganng, bin auf der 5.6.1+really5.4.5-1. Mein Rechner ist aus.
Also eine Schlaflose Nacht habe ich nicht.
Balou
vinzv:
Die Hintergründe sind noch weitgehend unklar. Was aber bisher so bekannt ist klingt nach einem wirklich groß und langfristig angelegten Angriffsversuch: https://boehs.org/node/everything-i-know-about-the-xz-backdoor
pit:
Zitat aus einem Heise-Artikel:
--- Quote ---Der Finder der Hintertür hat ein Bash-Skript geschrieben, um eine potentiell anfällige liblzma-Version auf dem eigenen System zu finden. Es bietet zwar keine vollständige Sicherheit, jedoch einen ersten Anhaltspunkt.
--- End quote ---
Quelle:
https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html
Script:
https://raw.githubusercontent.com/cyclone-github/scripts/main/xz_cve-2024-3094-detect.sh
Navigation
[0] Message Index
[#] Next page
Go to full version