Hintertür in Bibliothek: ssh ist gefährdet!

[the other]

Moinsen,
eben gelesen, jetzt hier geteilt: https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html.
Anscheinend ist eine Hintertür in einer wichtigen Bibliothek (hier liblzma) aufgetaucht. Es scheinen einige Versionen von Linux-basierten Systemen gefährdet. Ob und wie dies ausgenutzt werden kann erscheint derzeit noch fraglich, es wird aber von diversen Anbietern bereits zum Update (oder Rollback) aufgefordert.
Näheres im o.g. link zum Thema...

Ergänzend:
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
https://nvd.nist.gov/vuln/detail/CVE-2024-3094

Der Entdecker der Hintertür in der xz-Bibliothek hat ein Bash-Script erstellt, um Systeme auf Anfälligkeit zu prüfen: https://github.com/cyclone-github/scripts/blob/main/xz_cve-2024-3094-detect.sh

 

[the other]

Moinsen,
hier gibt es weitere (und etwas konkretere) Infos zu der oben erwähnten backdoor: https://www.heise.de/news/xz-Attack...e-Details-zu-betroffenen-Distros-9671588.html
Hört sich in Teilen fast an wie in einem mittelmäßigen Film aus Hollywood...

 

[Mavalok2]

Schon ein wenig Hollywood. Es scheint sich aber vor allem um vorab / unstable Versionen zu handeln. Aber einige Distros mit Rolling Release scheint es doch getroffen zu haben.
Würde mal sagen, NAS-Systeme wie Synology und QNAP - wir sind hier ja in einem Netzwerkforum, die meist mehr oder weniger etwas hinterher hinken, dürften wohl nicht betroffen sein.

Ansonsten ein sehr interessanter Bericht aus einem Linux-Forum, der gut erklärt und etwas Licht in die Sache bringt:
https://forum.linuxguides.de/core/b...lige-computer-weltweit-was-wir-bisher-wissen/

 

[Mavalok2]

Mich hat es jetzt doch interessiert und habe mal nachgesehen, welche Version bei aktuellen QNAP und Synology NAS installiert sind. Mit dem Befehl xz -- version kann man dies nachsehen.

Bei einem QNAP NAS mit aktuellem QTS 5.1.5.2679 ist dies:

$ xz --version
xz (XZ Utils) 5.2.4
liblzma 5.2.4

Bei einem Synology NAS mit aktuellem DSM 7.2.1-69057 Update 4 ist dies:

$ xz --version
xz (XZ Utils) 5.2.6
liblzma 5.2.6

Sollte also alles sicher sein.

Unsicher soll die Version 5.6.0 und 5.6.1 sein. Die aktuelle Version 5.6.1-2 soll wieder sicher sein. Die Subversionen werden allerdings mit dem Befehl xz --version nicht angezeigt.