liblzma<\/code>, die f\u00fcr das XZ-Archivformat genutzt wird.1<\/a><\/sup>2<\/a><\/sup> Es verspricht eine h\u00f6here Kompression als mit den bekannten Formaten wie ZIP, TarGZ und weiteren. Die Verbreitung steigt – unter anderem das Raspberry Pi OS ist vor einiger Zeit auf XZ umgestiegen.3<\/a><\/sup> Dem Entwickler Andres Freund ist k\u00fcrzlich aufgefallen, dass seine SSH-Anmeldungen unter Debian Sid verlangsamt wurden und es vereinzelt zu Fehlern kam. Bei der Analyse entdeckte er eine Hintert\u00fcr in liblzma<\/code>, die sich im Debian-Paket xz-utils<\/code> versteckt.4<\/a><\/sup><\/p>\nBei einer Hintert\u00fcr (auch Backdoor<\/em> genannt) wird ein weiterer Zugang in eine Software eingebaut, der die Zugriffssteuerung umgeht. Das kann vom Hersteller gewollt bis toleriert sein, etwa als Notl\u00f6sung, falls man sich selbst ausgesperrt hat. Sicherheitstechnisch stellen bewusst eingebaute Hintert\u00fcren meist ein Sicherheitsrisiko dar. Oft handelt es sich bei Hintert\u00fcren um Wege f\u00fcr unbefugten Zugriff.5<\/a><\/sup> Ihr holt beispielsweise einen Handwerker ins Haus, der das T\u00fcrschloss auswechseln soll. Dieser beh\u00e4lt heimlich einen der neuen Schl\u00fcssel f\u00fcr sich. Damit hat er jederzeit Zugang zu eurer Wohnung und k\u00f6nnte dies ausnutzen, um beispielsweise w\u00e4hrend eurer Abwesenheit alle Wertgegenst\u00e4nde zu klauen.<\/p>\nBekanntere F\u00e4lle von Backdoors, die erwischt wurden<\/h2>\n
Hintert\u00fcren kennen wir seit den Snowden Enth\u00fcllungen nicht mehr nur aus Thrillern: Ein Hersteller von Hochsicherheitskameras beispielsweise baute f\u00fcr US-Geheimdienste Hintert\u00fcren in seine Ger\u00e4te ein, damit diese (illegalerweise) darauf zugreifen k\u00f6nnen. Besonders brisant war damals, dass der deutsche BND davon wusste – aber die Amerikaner weiter spionieren lie\u00df, obwohl der Frankfurter Flughafen die kompromittierten Kameras verwendete.6<\/a><\/sup> Als die USA vor Hintert\u00fcren in chinesischer Hardware warnten, belegten Snowden-Dokumente: Dies war eine Nebelkerze, um davon abzulenken, dass die USA dies in Wahrheit selbst l\u00e4ngst durchf\u00fchren7<\/a><\/sup>. Frei nach dem Motto: Was ich mache, traue ich dem Gegner auch zu. Die NSA hat alleine 10 Millionen Dollar Steuergelder f\u00fcr eine Hintert\u00fcr beim Sicherheitsanbieter RSA Security ausgegeben.8<\/a><\/sup><\/p>\nGr\u00f6\u00dfere Netzwerk-Hersteller wurden daher ebenfalls bereits erwischt. 2014 kam eine Hintert\u00fcr in Routern von u.a. Cisco (USA), Linksys (USA), Sercomm (Taiwan) und Netgear (USA) ans Licht. Damit konnten Angreifer sensible Konfigurationsinformationen wie Passw\u00f6rter und VPN-Zertifikate auslesen. Sogar das \u00c4ndern von Einstellungen war m\u00f6glich – ganz ohne Passwort, da die Hintert\u00fcr dies umgeht.9<\/a><\/sup>10<\/a><\/sup> Dreist: Netgear liefert ein Update, das die Hintert\u00fcr nicht einmal entfernt, sondern lediglich besser versteckt.11<\/a><\/sup> Damit handelt es sich offensichtlich nicht um ein „versehen“, sondern um eine bewusst platzierte Hintert\u00fcr f\u00fcr unbefugten Zugriff auf die Systeme der Kunden.<\/p>\nWas macht der Backdoor?<\/h2>\n
Der SSH-Daemon wird von manchen Distributionen mit systemd-notify12<\/a><\/sup> gepatcht, um Systemd-Funktionen wie z.B. das Starten anderer Dienste in Abh\u00e4ngigkeit von Systemd zu erm\u00f6glichen.13<\/a><\/sup> Dadurch ist die Bibliothek libsystemd<\/code> integriert, die wiederum als Abh\u00e4ngigkeit liblzma<\/code> l\u00e4dt. Ubuntu macht das beispielsweise. Dort kann man mit ldd<\/code> sehen, dass sshd<\/code> dadurch gegen liblzma<\/code> gelinkt ist:<\/p>\n$ ldd "$(command -v sshd)" | grep liblzma\n\tliblzma.so.5 => \/lib\/x86_64-linux-gnu\/liblzma.so.5 (0x00007f273e8a8000)<\/code><\/pre>\nAls Folge davon wird die Hintert\u00fcr in der xz Bibliothek indirekt geladen. Durch diese Abh\u00e4ngigkeit kann der liblzma<\/code> Code per Systemd auf den SSH-Daemon (sshd<\/code>) zugreifen. Der Schadcode missbraucht IFUNC aus glibc, um Funktionsaufrufe von SSHD umzuleiten. Die genaue Analyse l\u00e4uft noch. Dass sich darunter RSA_public_decrypt<\/code> befindet, l\u00e4sst jedoch bereits erahnen: Der Angreifer m\u00f6chte damit die Authentifizierung des SSH-Servers umgehen k\u00f6nnen.<\/p>\n\n![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2024\/04\/xz-backdoor-ssh-1024x194.png\")
<\/a><\/figure>\n<\/div>\nDer Exploit ist in drei Teile aufgeteilt: Der wichtigste Hauptteil befindet sich ausschlie\u00dflich in den kompilierten Bin\u00e4rdateien. Ein zweiter Teil liegt in verschleierter Form als Testdatei im Git-Repository, ist allerdings ohne Teil 1 harmlos.14<\/a><\/sup> Au\u00dferdem ist ein Skript n\u00f6tig, um die verschl\u00fcsselt getarnten Testdaten zu extrahieren. Dieses Skript f\u00fcgt den Schadcode in den Buildprozess ein. Wer den Quellcode aus dem GitHub-Repository selbst kompiliert, besitzt nur einen der drei Teile – die Hintert\u00fcre w\u00fcrde hier nicht eingebaut.<\/p>\nWelche Versionen sind kompromittiert?<\/h2>\n
Betroffen sind die Versionen 5.6.0 und 5.6.1, die erste kompromittierte Version wurde am 24.02.2024 ver\u00f6ffentlicht.15<\/a><\/sup> Bei der vorl\u00e4ufigen Analyse am Freitag konnte bereits ausgeschlossen werden, dass die Debian-Pakete kompromittiert sind. Stattdessen befindet sich die Hintert\u00fcr in den Bin\u00e4rdateien der xz Software selbst. Laut bisherigen Erkenntnissen gibt es selbst in 5.6.0 und 5.6.1 noch eine Reihe weiterer Bedingungen, die zutreffen m\u00fcssen, damit die Hintert\u00fcr aktiv wird:16<\/a><\/sup><\/p>\n\n- Laut bisherigen Infos klinkt er sich nur in SSH-Server ein. Workstations ohne (\u00f6ffentlich erreichbaren) SSH-Server sind damit nicht akut gef\u00e4hrdet<\/li>\n
- Die Umgebungsvariable
TERM<\/code> (kennzeichnet eine interaktive Konsolensitzung) darf nicht gesetzt sein<\/li>\n- Die Umgebungsvariabe
LANG<\/code> (f\u00fcr Region und Sprache) ist gesetzt<\/li>\n- Weder
LD_DEBUG<\/code> noch LD_PROFILE<\/code> sind als Umgebungsvariable gesetzt<\/li>\n- Keine laufende Debug-Sitzung mit
rr<\/code> oder gdb<\/code><\/li>\n- Die Bin\u00e4rdatei von SSH muss in
\/usr\/sbin\/sshd<\/code> liegen (manche Distributionen legen sie z.B. in \/usr\/bin<\/code>)<\/li>\n- Vanilla OpenSSH ist nicht betroffen, nur gepatchte und gegen
liblzma<\/code> gelinkte Versionen (s.u.)<\/li>\n- GNU\/Linux-Distribution mit glibc<\/li>\n
- 64-Bit X86 Plattform<\/li>\n<\/ul>\n
Die Version pr\u00fcft man am besten \u00fcber die installierten Pakete. Bei auf Debian basierten Systemen wie u.a. Ubuntu etwa mit dpkg<\/code>, hier ist eine \u00e4ltere (und nach derzeitigem Stand nicht betroffene) 5.2 Version enthalten:<\/p>\n$ dpkg -l | grep xz\nii xz-utils 5.2.5-2ubuntu1 amd64 XZ-format compression utilities<\/code><\/pre>\nWo SSH liegt, kann man wie folgt herausfinden:<\/p>\n
$ command -v sshd\n\/usr\/bin\/sshd<\/code><\/pre>\nMit ldd wird ermittelt, gegen welche Bibliotheken eine Bin\u00e4rdatei gelinkt ist. Ubuntu linkt beispielsweise gegen liblzma. Bei Manjaro bekommt man eine leere Ausgabe, weil Arch Linux & Manjaro das nicht machen.<\/p>\n
$ ldd "$(command -v sshd)" | grep liblzma\n\tliblzma.so.5 => \/lib\/x86_64-linux-gnu\/liblzma.so.5 (0x00007f273e8a8000)<\/code><\/pre>\nDiese GNU\/Linux-Distributionen und Apple MacOS Systeme sind betroffen<\/h2>\n
Da die Hintert\u00fcr in einem recht fr\u00fchen Stadium entdeckt wurde, sind die Auswirkungen recht \u00fcberschaubar. Die xz Versionen >= 5.6.0 wurden in traditionellen Distributionen erst in den fr\u00fchen Testversionen ausgeliefert:<\/p>\n
\n- Debian testing und unstable sind betroffen, die stabilen Ver\u00f6ffentlichungen nicht17<\/a><\/sup><\/li>\n
- Fedoras Entwicklerversion 40 (wird Rawhide<\/em> genannt) ist betroffen, die finalen Versionen und RHEL ebenfalls nicht18<\/a><\/sup><\/li>\n
- \u00c4hnlich sieht es bei Ubuntu mit der Vorversion aus 24.04 aus19<\/a><\/sup><\/li>\n<\/ul>\n
\u00dcblicherweise werden diese nur von Entwicklern oder Testern eingesetzt. Der mit Abstand gro\u00dfe Teil aller normalen Nutzer von Debian, Ubuntu, Fedora und OpenSUSE hat also gar keine Version mit Schadcode bekommen. Schlechter kann es allerdings bei Nutzern von Rolling Releases Distributionen aussehen. Diese fortlaufend aktualisierten Betriebssysteme sind bekannt daf\u00fcr, Upstream-Pakete schnell bis zeitnah auszuliefern. OpenSUSE Tumbleweed ist beispielsweise betroffen.20<\/a><\/sup> Mindestens in diesem Falle sollte im Zweifel von einer Kompromittierung des Systems ausgegangen werden.<\/p>\nArch Linux hat 5.6.1 ausgeliefert, verwendet allerdings nicht die bin\u00e4ren Tar-Archive, sondern baut ihre Pakete aus den Git-Quellen selbst. Au\u00dferdem ist dort OpenSSH nicht gegen liblzma gelinkt. Dennoch hat man sich dazu entschlossen, durch Ver\u00f6ffentlichung von 5.6.0-1 und 5.6.0-2 ein Downgrade auf 5.4.5 durchzuf\u00fchren.21<\/a><\/sup><\/p>\nEine Sonderrolle nimmt Apples MacOS ein. Sie sind nicht \u00fcber die Betriebssystemversion, sondern \u00fcber den Paketmanager Homebrew ebenfalls potenziell betroffen. Dieser hatte den kompromittierten 5.6.x Zweig ausgeliefert und ist inzwischen auf 5.4.6 zur\u00fcck.22<\/a><\/sup><\/p>\nWie ist das passiert?<\/h2>\n
Die XZ-Bibliothek wird von zwei Personen betreut: Lasse Collin (Larhzu<\/em>) ist seit Anfang an (ca. 2009) dabei und hat an einem Vorg\u00e4ngerpaket (lzma-utils) gearbeitet. Jia Tan (JiaT75<\/em>) wirkt seit 2 bis 2,5 Jahren mit und wurde im August 2022 als Co-Betreuer des Projektes hochgestuft. Laut Medienberichten hat Jia Tan die verseuchten 5.6.x Versionen ver\u00f6ffentlicht. Unabh\u00e4ngig pr\u00fcfen l\u00e4sst sich dies derzeit nicht. Der bislang auf GitHub liegende Quellcode von xz ist inzwischen nicht mehr abrufbar, da Microsoft dieses Repository gesperrt hat.23<\/a><\/sup> Verf\u00fcgbar sind nur noch teilweise vorhandene Archivseiten24<\/a><\/sup> – Das erschwert die Analyse.<\/p>\n\n![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2024\/03\/grafik-9.png\")
<\/a><\/figure>\n<\/div>\nSpannenderweise ist dieses Verhalten bereits extrem fr\u00fch aufgefallen: Noch am Tag der Ver\u00f6ffentlichung von der ersten sch\u00e4dlichen Version (24.02.2024) wurden Valgrind-Fehler unter Gentoo gemeldet.25<\/a><\/sup> Jia Tan kommentierte dort, es w\u00fcrde sich um einen Fehler im Compiler (GCC) handeln. Passend dazu erstellt er einen Commit, der als Workaround gegen den angeblichen GCC-Bug helfen w\u00fcrde. Die IFUNC Aufrufe sind dabei involviert.26<\/a><\/sup> <\/p>\nSelbst in Googles OSS-Fuzz Projekt hat er es geschafft, eine Erkennung von IFUNC abzuschalten um damit mutma\u00dflich zu verhindern, dass seine Hintert\u00fcr entdeckt wird. Der Pull-Request wurde Anfang Juli 2023 von einem Google-Mitarbeiter freigegeben. Aus heutiger Sicht m\u00f6chte er den Vorfall aufarbeiten und pr\u00fcfen, welchen Einfluss dies hatte.27<\/a><\/sup><\/p>\nWas genau er gemacht hat, ist durch den von Microsoft eingeschr\u00e4nkten Zugriff derzeit nicht nachpr\u00fcfbar. <\/p>\n
Wer die Hintert\u00fcr dort einbaute, was die Absicht dahinter ist und welche weiteren m\u00f6glichen Bestandteile sie enth\u00e4lt, ist noch nicht im Detail gekl\u00e4rt. Gesichert scheint derzeit nur: Das GitHub-Konto JiaT75 wird von einem Angreifer kontrolliert, der die Bibliothek kompromittiert hat. Laut ersten Erkenntnissen soll der Schadcode auf manipulierten SSH-Servern \u00fcber den RSA-Schl\u00fcssel transportiert werden – der Angreifer k\u00f6nnte damit ohne g\u00fcltigen Schl\u00fcssel Code ausf\u00fchren. Ob der Entwickler selbst gehackt\/gekauft wurde oder von Anfang an schlechte Absichten hatte, ist bislang nicht eindeutig gekl\u00e4rt. Die Indizien sprechen zunehmend daf\u00fcr, dass der Angriff \u00fcber l\u00e4ngere Zeit geplant wurde.28<\/a><\/sup> Ein staatlicher Angreifer wird damit wahrscheinlicher.<\/p>\nEs ist davon auszugehen, dass in n\u00e4chster Zeit weitere Erkenntnisse bekannt werden. Der erste Entwickler Lasse Collin hat sich auf seiner Homepage mit einer kurzen Infoseite ge\u00e4u\u00dfert: Dort schreibt er, die mit Backdoor versehenen Tar-Archive seien von Jia Tan erstellt worden. Tan habe nur begrenzten Zugriff auf GitHub und dar\u00fcber indirekt auf die ehemalige Webseite des Projekts, nicht auf der tukaani.org Hauptseite.29<\/a><\/sup><\/p>\nWas das f\u00fcr die Sicherheit des Unix\/Linux-\u00d6kosystems bedeutet<\/h2>\n
Weniger, als man anfangs mit einer 10.0\/10 CVE wohl vermuten w\u00fcrde. Es handelt sich zwar um einen spektakul\u00e4ren Backdoor, wie man ihn nur selten sieht. Allerdings wurde er recht fr\u00fch entdeckt, sodass keine stabile GNU\/Linux-Distribution betroffen ist. Wir haben einen \u00fcberschaubaren Personenkreis von GNU\/Linux und Unix (MacOS) Nutzern, die theoretisch betroffen sein k\u00f6nnten. Der Praktische d\u00fcrfte noch geringer sein, weil der Backdoor auf MacOS und einigen Linux-Distributionen wie z.B. Arch Linux laut derzeitigem Stand gar nicht funktionsf\u00e4hig war.<\/p>\n
Dar\u00fcber hinaus sind wir von Zust\u00e4nden wie bei Microsoft noch Meilenweit entfernt. Ich erinnere da beispielsweise an Sicherheitsl\u00fccken im Windows App-Installer: 2021 hat man sie korrigiert, den Fix vergessen (?) und damit die gleiche L\u00fccke wieder aktiviert, sodass sie 2023 erneut geschlossen wurde.30<\/a><\/sup> In Azure klaffen schwere Sicherheitsm\u00e4ngel \u00fcber zig Monate, bis Microsoft etwas tut. Eine Sicherheitsl\u00fccke zur Umgehung der Codesignatur wird in Windows sogar satte 2 Jahre (!!!) ausgenutzt, bevor der Konzern handelt.31<\/a><\/sup> Microsoft Teams ist ebenfalls bereits negativ in Erscheinung getreten.32<\/a><\/sup> Der gesamte Azure Cloud-Stack wurde bereits erfolgreich angegriffen.33<\/a><\/sup><\/p>\nBereits vor Jahren ist Microsoft mit fragw\u00fcrdigen Funktionen aufgefallen, die als Hintert\u00fcr missbraucht werden k\u00f6nnen – etwa in ActiveX.34<\/a><\/sup> Um die Jahrtausendwende beunruhigte ein NSAKEY genannter Zweitschl\u00fcssel die Windows-Nutzer, da ein Backdoor f\u00fcr den gleichnamigen Geheimdienst vermutet wurde.35<\/a><\/sup> 2008 behob der Konzern eine Sicherheitsl\u00fccke, die erstmals im Jahre 2000 \u00f6ffentlich bekannt geworden ist.36<\/a><\/sup> Exchange als Top Einfallstor ist nat\u00fcrlich ebenfalls mit dabei.37<\/a><\/sup><\/p>\nAlles kein Einzelfall, die Liste k\u00f6nnte man noch ewig fort f\u00fchren – \u00fcber 40% der besonders schweren Sicherheitsl\u00fccken befinden sich in Microsoft Produkten. Selbst unter Windows-Experten wird Microsoft als Sicherheitsrisiko zunehmend diskutiert.38<\/a><\/sup> Das Verhalten des Konzerns wurde bereits mehrfach ger\u00fcgt, etwa als „grob unverantwortlich“39<\/a><\/sup> und „Grob fahrl\u00e4ssig“.40<\/a><\/sup><\/p>\nDass Microsoft die Messlatte so tief h\u00e4ngt, soll nat\u00fcrlich nicht bedeuten, GNU\/Linux k\u00f6nne sich ruhig noch bis auf dieses Niveau herab lassen. Davon sind wir zum Gl\u00fcck auch weit entfernt, selbst Vorf\u00e4lle wie dieser sind hier selten. In gewissen Dimensionen gibt es immer Verbesserungspotenzial.<\/p>\n
Was wir lernen k\u00f6nnen, um noch besser zu werden<\/h2>\n
Diese Hintert\u00fcr ist ein Paradebeispiel f\u00fcr die Wichtigkeit reproduzierbarer Builds.41<\/a><\/sup> Ich habe das 2020 bei der Corona Warn-App schon angesprochen<\/a>: Sie war zwar quelloffen – was grunds\u00e4tzlich ein guter Anfang ist. Aber es wusste halt keiner, was zwischen Code und ver\u00f6ffentlichter Bin\u00e4rdatei passiert. An so ein \u00e4hnliches Szenario hatte ich dabei gedacht. In quelloffener Software l\u00e4sst sich Schadcode nicht so leicht verstecken, wie in propriet\u00e4rer. Also w\u00fcrde man als halbwegs cleverer Angreifer lieber die Bin\u00e4rdateien angreifen. Ohne reproduzierbare Builds ist es sehr aufw\u00e4ndig, von au\u00dfen zu erkennen, ob jemand dort etwas eingeschleust hat.<\/p>\nWas man au\u00dferdem lernen kann, ist die Wichtigkeit des Zusammenspiels. Wusstet ihr, dass viele von euch XZ als Abh\u00e4ngigkeit von Systemd haben? Und manche Distributionen Systemd-Hooks in den SSH-Server patchen? Den Wenigsten wird das bewusst gewesen sein. So sch\u00e4tzt man eine Komponente wie liblzma<\/code> falsch ein: Ich entpacke keine XZ-Archive, also betrifft mich das ja eh nicht<\/em> – ein Trugschluss. <\/p>\nWas man diskutieren kann: Muss Systemd Kompression eingebaut haben? Ein Argument der Gegner war & ist, dass Systemd durch den Funktionsumfang zu komplex wird.42<\/a><\/sup> Die Kompression scheint vom Journal zu kommen. Zuvor hat sich Init.d nicht darum gek\u00fcmmert. Programme haben ihre Logs nach \/var\/log<\/code> geschrieben und Logrotate war f\u00fcr das Aufr\u00e4umen zust\u00e4ndig. Es hat \u00e4ltere Logs komprimiert und nach der festgelegten Zeit die ganz alten gel\u00f6scht. Kein einheitliches Journal wie bei Systemd, das kann man dagegen argumentieren. Allerdings w\u00e4re mit diesem Ansatz nach der Unix-Philosophie keine XZ-Bibliothek indirekt im SSH-Daemon gelinkt. W\u00fcrde das ganze zumindest schon mal ein gutes St\u00fcck entsch\u00e4rfen. Am besten w\u00e4re nat\u00fcrlich: Die Builds w\u00e4ren fehlgeschlagen, weil nicht mehr reproduzierbar und dem Kollege h\u00e4tte die Sabotage des Mitstreiters auffallen k\u00f6nnen.<\/p>\nBerechtigt ist ebenfalls die Frage nach der Unterst\u00fctzung kleiner Projekte mit relativ hoher Bedeutung. Betreuen dies nur wenige oder gar eine einzige Person in ihrer Freizeit, kann das negative Auswirkungen auf die Qualit\u00e4t haben. Dies haben wir in der Vergangenheit bereits an OpenSSL (Heartbleed<\/em>) erfahren m\u00fcssen.43<\/a><\/sup> Einem b\u00f6sen Akteur wird es unter diesen Umst\u00e4nden einfach gemacht: Man ist froh \u00fcber jede vermeintliche Unterst\u00fctzung. Wie alles ehrenamtliche kann auch quelloffene Software nur funktionieren, wenn genug Ressourcen und damit helfende H\u00e4nde verf\u00fcgbar sind.<\/p>\nFazit<\/h2>\n
Auswirkungen und Handlungsbedarf sind zum jetzigen Stand \u00fcberschaubar. Dennoch sollte man das Thema weiter beobachten. Wie zwischendrin bereits erw\u00e4hnt: Alle Informationen basieren auf Reverse Engineering von wenigen Stunden Arbeit – die L\u00fccke wurde ja erst seit Freitag bekannt. Au\u00dferdem sind nicht mehr alle Quellen offen zug\u00e4nglich. Es ist daher m\u00f6glich, dass in n\u00e4chster Zeit weitere Details rund um die Hintert\u00fcr bekannt werden. Debian diskutiert beispielsweise, welche vorherige Version als sicher angesehen werden kann. Jia Tan soll mindestens 750 Commits erstellt haben, unter denen m\u00f6glicherweise zuvor ein Puffer\u00fcberlauf absichtlich eingebaut wurde. Jedenfalls scheint er tiefe Kenntnisse zur Sicherheitsarchitektur von xz zu haben.44<\/a><\/sup><\/p>\nDieser Angriffsvektor ist unter GNU\/Linux recht selten und neu. Wir werden uns jedoch damit besch\u00e4ftigen m\u00fcssen, da Entwickler von verbreiteten Projekten ein lukratives Angriffsziel sind. Sowohl quelloffen, als auch propriet\u00e4re – zu letzterem geh\u00f6rt beispielsweise der CCleaner, der \u00fcber Wochen hinweg mit Malware verseucht ausgeliefert wurde.45<\/a><\/sup> Ironischerweise hat ihn der Antivirenhersteller AVAST \u00fcbernommen… auch hier hat das Antivirus versagt und zig Millionen luden die kompromittierte Datei herunter. Bei OSS haben wir noch am ehesten die M\u00f6glichkeit, so etwas zu identifizieren. Insbesondere, wenn wir verf\u00fcgbare technische Hilfsmittel wie reproduzierbare Builds einsetzen. Damit k\u00f6nnte jeder pr\u00fcfen, ob die Bin\u00e4rdatei manipuliert wurde.<\/p>\nQuellen<\/h2>\n\n- https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-3094 \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.borncity.com\/blog\/2024\/03\/30\/linux-backdoor-in-upstream-xz-liblzma-kompromittierung-der-ssh-server\/ \u21a9\ufe0e<\/a><\/li>\n
- http:\/\/downloads.raspberrypi.com\/raspios_arm64\/images\/raspios_arm64-2024-03-15\/ \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/openwall.com\/lists\/oss-security\/2024\/03\/29\/4 \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.security-insider.de\/was-ist-eine-backdoor-a-676126\/ \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/netzpolitik.org\/2016\/bnd-wusste-von-amerikanischen-hintertueren-in-hochsicherheitskameras-und-schwieg\/#netzpolitik-pw \u21a9\ufe0e<\/a><\/li>\n
- http:\/\/web.archive.org\/web\/20210123044650\/https:\/\/www.pc-magazin.de\/news\/nsa-router-backdoor-export-greenwald-snowden-enthuellungen-dokumente-2321372.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.heise.de\/news\/NSA-zahlte-10-Millionen-US-Dollar-fuer-Krypto-Backdoor-2071567.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.heise.de\/news\/Mysterioese-Router-Backdoor-Viele-tausend-Router-in-Deutschland-haben-eine-Hintertuer-jetzt-testen-2080913.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.heise.de\/hintergrund\/Cisco-Zero-Day-Tausende-Geraete-haben-Hintertueren-ueber-200-in-Deutschland-9337561.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.heise.de\/news\/Netgear-Update-Router-Backdoor-nur-versteckt-2173996.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.freedesktop.org\/software\/systemd\/man\/249\/systemd-notify.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/github.com\/openssh\/openssh-portable\/pull\/375\/commits\/be187435911cde6cc3cef6982a508261074f1e56 \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/access.redhat.com\/security\/cve\/CVE-2024-3094 \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.theregister.com\/2024\/03\/29\/malicious_backdoor_xz\/ \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/gist.github.com\/thesamesam\/223949d5a074ebc3dce9ee78baad9e27 \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/lists.debian.org\/debian-security-announce\/2024\/msg00057.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.redhat.com\/en\/blog\/urgent-security-alert-fedora-41-and-rawhide-users \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/discourse.ubuntu.com\/t\/xz-liblzma-security-update\/43714 \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/news.opensuse.org\/2024\/03\/29\/xz-backdoor\/ \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/gitlab.archlinux.org\/archlinux\/packaging\/packages\/xz\/-\/issues\/2 \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/github.com\/orgs\/Homebrew\/discussions\/5243#discussioncomment-8954951 \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.phoronix.com\/news\/GitHub-Disables-XZ-Repo \u21a9\ufe0e<\/a><\/li>\n
- http:\/\/web.archive.org\/web\/20240328130125\/https:\/\/github.com\/tukaani-project\/xz \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/bugs.gentoo.org\/925415 \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/hackaday.com\/2024\/03\/29\/security-alert-potential-ssh-backdoor-via-liblzma\/ \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/github.com\/google\/oss-fuzz\/pull\/10667 \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.heise.de\/news\/xz-Attacke-Hintertuer-entraetselt-weitere-Details-zu-betroffenen-Distros-9671588.html?wt_mc=rss.red.security.security.rdf.beitrag.beitrag \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/tukaani.org\/xz-backdoor\/ \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/windowsarea.de\/2023\/12\/microsoft-behebt-dieselbe-sicherheitsluecke-zweimal-in-zwei-jahren\/ \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.golem.de\/news\/zero-day-microsoft-schliesst-bekannte-sicherheitsluecke-nach-2-jahren-2008-150327.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.henning-uhle.eu\/informatik\/microsoft-teams-hintertuer-entdeckt \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.watson.ch\/digital\/analyse\/880255101-das-microsoft-cloud-fiasko-was-wir-aus-dem-sicherheits-versagen-lernen \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.heise.de\/news\/ActiveX-Hintertuer-fuer-Microsoft-17151.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.deutschlandfunk.de\/hintertuer-fuer-uncle-sam-100.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.gamestar.de\/artikel\/sicherheitsluecke-nach-75-jahren-behoben-microsoft-patcht-fehler-aus-dem-jahr-2001,1950981.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.golem.de\/news\/microsoft-exchange-server-von-gut-versteckter-hintertuer-betroffen-2207-166575.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.borncity.com\/blog\/2023\/08\/03\/sicherheitsrisiko-microsoft-azure-schwachstelle-seit-mrz-2023-ungepatcht-schwere-kritik-von-tenable-teil-2\/ \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.pcgameshardware.de\/Cloud-Gaming-und-Computing-Thema-233460\/News\/Sicherheitsproblem-bei-Microsoft-AAD-und-Vorwuerfe-1425956\/ \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.golem.de\/news\/grob-fahrlaessig-sicherheitsproblem-gefaehrdet-microsoft-kunden-seit-monaten-2308-176417.html \u21a9\ufe0e<\/a><\/li>\n
- https:\/\/www.security-insider.de\/vier-schritte-zur-sicheren-software-a-1122d0a6d8d4524de5ac88156a8d58eb\/