Attention! Malicious Software in testing and sid

[devil]

The package xz-utils,  respectively liblzma as part of that package is compromised: The xz compromise only affects testing/sid users, as it was introduced in xz-utils v5.6.0. The scope of the compromise is currently unknown. If you are affected, at minimum upgrade the package, and consider restoring from known good backups. https://www.openwall.com/lists/oss-security/2024/03/29/4

As a first measure to check whether a system is infected, you can download the script detect.sh from the bottom of https://www.openwall.com/lists/oss-security/2024/03/29/4, make it executable and run it with sudo ./detect_sh.bin. I got the following result: probably not vulnerable. Besides that, it seems like a good idea to deactivate SSH and only activate it when needed.

More information will likely turn up within a day or so. If the script finds your system most likely not vulnerable, I would wait until tomorrow. If the script returns that you are infected, I would consider reinstalling from backup. You have to decide, the available information is too thin for a clear recommendation. On https://testbuilds.siduction.org/ we have uploaded fresh images with a fixed  xz-utils  5.6.1+really5.4.5-1, should someone feel the need to reinstall. We will keep you informed, as soon as we know more.

----
Das Paket xz-utils bzw. liblzma als Teil dieses Pakets ist kompromittiert: Die xz-Kompromittierung betrifft nur testing/sid-Benutzer, da sie in xz-utils v5.6.0 eingeführt wurde. Das Ausmaß der Kompromittierung ist derzeit unbekannt. Wenn du betroffen bist, solltest du zumindest das Paket auf xz-utils  5.6.1+really5.4.5-1 aktualisieren und eine Wiederherstellung von bekannt guten Backups in Betracht ziehen. https://www.openwall.com/lists/oss-security/2024/03/29/4

Als erste Maßnahme zur Überprüfung, ob ein System infiziert ist, kannst du das Skript detect.sh am Ende von https://www.openwall.com/lists/oss-security/2024/03/29/4 herunterladen, es ausführbar machen und mit sudo ./detect_sh.bin ausführen. Ich habe folgendes Ergebnis erhalten: probably not vulnerable. Es scheint in jedem Fall eine gute Idee zu sein, SSH auszuschalten wenn es nicht benötigt wird.

Weitere Informationen werden wahrscheinlich in den nächsten Tagen auftauchen. Wenn das Skript feststellt, dass dein System wahrscheinlich nicht angreifbar ist, würde ich persönlich bis morgen warten. Wenn das Skript feststellt, dass du (vermutlich) infiziert bist, würde ich eine Neuinstallation vom Backup in Betracht ziehen. Entscheiden müsst ihr, die verfügbaren Informationen sind zu dünn für eine klare Empfehlung. Auf https://testbuilds.siduction.org/ liegen frische ISOs mit einem gefixten  xz-utils  5.6.1+really5.4.5-1. Wir halten euch auf dem Laufenden, sobald wir mehr wissen.

[hendrikL]

https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

[Balou]

Na, auf das Osterei hätten wir gerne verzichtet. Bin gespannt auf die Hintergründe. So ganz habe ich noch nicht alles verstanden
bin noch am übersetzen von diversen Quellen.
Klar, ist das Ausmaß noch offen. Aber müßte nicht ein SSH Zugang gegeben sein? Oder alles noch Glaskugel leserei?
Ich habe keinen offenen SSH Zuganng, bin auf der 5.6.1+really5.4.5-1. Mein Rechner ist aus.
Also eine Schlaflose Nacht habe ich nicht.

Balou

[vinzv]

Die Hintergründe sind noch weitgehend unklar. Was aber bisher so bekannt ist klingt nach einem wirklich groß und langfristig angelegten Angriffsversuch: https://boehs.org/node/everything-i-know-about-the-xz-backdoor

[pit]

Zitat aus einem Heise-Artikel:

Der Finder der Hintertür hat ein Bash-Skript geschrieben, um eine potentiell anfällige liblzma-Version auf dem eigenen System zu finden. Es bietet zwar keine vollständige Sicherheit, jedoch einen ersten Anhaltspunkt.

Quelle:
https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html

Script:
https://raw.githubusercontent.com/cyclone-github/scripts/main/xz_cve-2024-3094-detect.sh

[edlin]

Code: [Select]

doas ./xz_cve-2024-3094-detect.sh
Checking system for CVE-2024-3094 Vulnerability...
https://nvd.nist.gov/vuln/detail/CVE-2024-3094

Checking for function signature in liblzma...
Function signature in liblzma: OK

Checking xz version...
xz version 5.4.5: OKssh ist aus, hoffen wir mal, dass die weitere Analyse keine schlimmeren Überraschungen bringt.

edlin

[devil]

Die Hoffnung stribt zuletzt. Der Typ hat auch im massig anderen Projekten Code eingebracht:
»That actor is involved in so many PR/commits/review in openssl and systemd, protobuf-c. llvms, util-linux. torvalds/linux, make-ca, cpython, curl, libxcrypt, dosbox-x, rust…
16 repo contributed to this year, 47 repos in 2023, 38 in 2024.
Some of his PRs are reviewed in conjunction with xen0n or xry111 is reviewing PRs from him. xen0n has contributed 36 repos this year, 101 in 2023 and 136 in 2024.

Da kann noch einiges auf uns zukommen.

[Geier0815]

Ist das der Grund warum es seit gestern keinerlei neue Pakete mehr gibt?

Ah, ok, wer auf der richtigen Seite sucht, der findet auch:

CVE-2024-3094 concerning a backdoor exploit in XZ Utils 5.6.0 and 5.6.1 releases are currently being analyzed, for the moment we have paused Archive processing. We will advise as soon as possible. For more reading and information: https://tukaani.org/xz-backdoor/

[hsp]

Ja genau. dinstall steht im Augenblick...

...

[devil]

…und am nächsten Wochenende gibt es Debian 12.6.

[devil]

Debian 12.6 ist zunächst mal auf unbestimmte Zeit verschoben. Eine Tiefenanalyse der Debian Repositories soll klären, inwieweit die xz Backdoor an anderer Stelle Spuren hinterlassen hat.

[edlin]

In dem Zusammenhang stellt sich mir auch die Frage, wie man im Moment mit Aktualisierungen umgehen sollte. Momentan biedern sich bei mir gerade 117 Pakete an. Kann man darauf vertrauen, dass die Pakete clean sind?

edlin

[Balou]

Kann man darauf vertrauen, dass die Pakete clean sind?

Im Moment neige ich dazu dass was aktuell angeboten für clean zu halten. Okay mit dem Stand der Informationen die man jetzt hat.
Ein Problem ist bekannt und bevor man jetzt eine Aktualisierung freigibt kann man auf die Schwachstelle prüfen.
Aber war das jetzt alles oder nur die Spitze des Eisbergs? Das ist nicht eine Sicherlücke weil schlecht programmiert wurde, hier wurde mit krimineller Energie eine Backdoor eingebaut. Da schleicht sich mir ein Gedanke ein ob wir nicht alle schon ein "Ostergeschenk" uns eingefangen haben, nur noch nicht entdeckt.

Wenn das Vertrauen fehlt, zu einen OS wechseln was nach Stand der Dinge nicht betroffen ist?

Balou

[Fellfrosch]

Wenn das Vertrauen fehlt, zu einen OS wechseln was nach Stand der Dinge nicht betroffen ist?

Wohin willst Du denn wechseln? Die Alternativen sind ja endlich. Winows und Mac sind für mich per se nicht wirklich als vertrauenswürdig zu bezeichnen. Was bleibt denn da noch, wenn man das Vertrauen in Linux verloren hat? FreeBSD? Unix? FreeDOS?

Einfach ein Systemd-freies Linux zu nutzen ist ja auch keine Alternative, wenn ich generell das Vertrauen in das System verloren habe. Schadcode kann ja letztendlich überall untergebracht werden, es spielt keine Rolle ob closed oder open source, völlig egal, welches init System.

Die einzige wirklich sichere Alternative ist in meinen Augen, den Stecker zu ziehen.   
Nein, ein Systemwechsel kommt für mich aktuell nicht in Frage. Es bleibt zu hoffen, dass man sich sicherheitsrelevante Projekte nochmals genau anschaut und man, falls in der Vergangenheit schonmal was eingebaut wurde, das dann auch findet. 

[edlin]

Ich persönlich schiebe auch keine Paranoia und habe auch aktualisiert. Ich gehe davon aus, dass zumindest im aktuellen Fall, der Weckschrei laut genug war und die Aktualisierungen entsprechend gründlich vorbereitet werden.
Ein (absolut) sicheres Betriebssystem gibt es nicht. Software wird von Menschen geschaffen und die machen auch mal Fehler oder bauen Fehler ein, egal aus welchen Interessen. Und KI „lernt“ aus diesen Fehlern ...

Bleibt am Ende des Tages nicht mehr viel übrig: Ein Atari 800 XL oder ein Sinclair ZX Spectrum? Oder doch lieber ein Z80 Eigenbau (siehe Sprut: https://www.sprut.de/misc/sp04_1.jpg) mit FORTH? Oder ein K1003 von robotron (den U808 hab ich selbst noch in Maschinencode für einen Messplatz programmiert und die Hardware erweitert)?

Wenn man sich für Debian/Sid entscheidet, dann sollte man wissen, dass man halt auch der Erste in der Schlange am Schafott ist. Den Preis habe ich mehrere Jahrzehnte lang in Kauf genommen und die Vorzüge von Sid und OSS genossen. Und ich werde das auch weiterhin!

edlin