The package xz-utils, respectively liblzma as part of that package is compromised: The xz compromise only affects testing/sid users, as it was introduced in xz-utils v5.6.0. The scope of the compromise is
currently unknown. If you are affected, at minimum upgrade the package, and consider restoring from known good backups.
https://www.openwall.com/lists/oss-security/2024/03/29/4As a first measure to check whether a system is infected, you can download the script
detect.sh from the bottom of
https://www.openwall.com/lists/oss-security/2024/03/29/4, make it executable and run it with
sudo ./detect_sh.bin. I got the following result:
probably not vulnerable. Besides that, it seems like a good idea to deactivate SSH and only activate it when needed.
More information will likely turn up within a day or so. If the script finds your system most likely not vulnerable, I would wait until tomorrow. If the script returns that you are infected, I would consider reinstalling from backup. You have to decide, the available information is too thin for a clear recommendation. On
https://testbuilds.siduction.org/ we have uploaded
fresh images with a fixed xz-utils 5.6.1+really5.4.5-1, should someone feel the need to reinstall. We will keep you informed, as soon as we know more.
----
Das Paket xz-utils bzw. liblzma als Teil dieses Pakets ist kompromittiert: Die xz-Kompromittierung betrifft nur testing/sid-Benutzer, da sie in xz-utils v5.6.0 eingeführt wurde. Das Ausmaß der Kompromittierung ist
derzeit unbekannt. Wenn du betroffen bist, solltest du zumindest das Paket auf xz-utils 5.6.1+really5.4.5-1 aktualisieren und eine Wiederherstellung von bekannt guten Backups in Betracht ziehen.
https://www.openwall.com/lists/oss-security/2024/03/29/4Als erste Maßnahme zur Überprüfung, ob ein System infiziert ist, kannst du das Skript
detect.sh am Ende von
https://www.openwall.com/lists/oss-security/2024/03/29/4 herunterladen, es ausführbar machen und mit
sudo ./detect_sh.bin ausführen. Ich habe folgendes Ergebnis erhalten:
probably not vulnerable. Es scheint in jedem Fall eine gute Idee zu sein, SSH auszuschalten wenn es nicht benötigt wird.
Weitere Informationen werden wahrscheinlich in den nächsten Tagen auftauchen. Wenn das Skript feststellt, dass dein System wahrscheinlich nicht angreifbar ist, würde ich persönlich bis morgen warten. Wenn das Skript feststellt, dass du (vermutlich) infiziert bist, würde ich eine Neuinstallation vom Backup in Betracht ziehen. Entscheiden müsst ihr, die verfügbaren Informationen sind zu dünn für eine klare Empfehlung. Auf
https://testbuilds.siduction.org/ liegen
frische ISOs mit einem gefixten xz-utils 5.6.1+really5.4.5-1. Wir halten euch auf dem Laufenden, sobald wir mehr wissen.