Red Hat waarschuwt voor backdoor in XZ-tools die door de meeste Linux-distro's worden gebruikt

Hier kunt u Linux tips en nieuws lezen
Plaats reactie
Gebruikersavatar
Abraham54
Berichten: 447
Lid geworden op: 15 jan 2023, 13:22
Has thanked: 9 times
Been thanked: 184 times

Red Hat waarschuwt voor backdoor in XZ-tools die door de meeste Linux-distro's worden gebruikt

#1

Bericht door Abraham54 »

Red Hat waarschuwt voor backdoor in XZ-tools die door de meeste Linux-distro's worden gebruikt
Door Sergiu Gatlan
Publicatie van BleepingComputer


Afbeelding

Vandaag waarschuwde Red Hat gebruikers om onmiddellijk te stoppen met het gebruik van systemen met Fedora ontwikkelings- en experimentele versies vanwege een achterdeur die gevonden is in de nieuwste XZ Utils datacompressie gereedschappen en bibliotheken.

"STOP ONMIDDELLIJK HET GEBRUIK VAN ALLE FEDORA 41 OF FEDORA RAWHIDE INSTANCES voor werk of persoonlijke activiteiten," waarschuwde Red Hat vrijdag.

"Er zijn geen versies van Red Hat Enterprise Linux (RHEL) getroffen. We hebben rapporten en bewijs van het succesvol bouwen van de injecties in xz 5.6.x versies gebouwd voor Debian unstable (Sid). Andere distributies kunnen ook getroffen zijn."

Het beveiligingsteam van Debian heeft ook een advisory uitgegeven waarin gebruikers worden gewaarschuwd voor het probleem. De advisory zegt dat geen enkele stabiele Debian-versie gebruik maakt van de gecompromitteerde pakketten en dat XZ is teruggezet naar de upstream 5.4.5 code op de getroffen Debian test-, unstable- en experimentele distributies.

Microsoft software engineer Andres Freund ontdekte het beveiligingsprobleem tijdens een onderzoek naar trage SSH logins op een Linux box met Debian Sid (de rolling development versie van de Debian distro).

Hij heeft echter niet het exacte doel gevonden van de kwaadaardige code die is toegevoegd aan XZ versies 5.6.0 en 5.6.1.

"Ik heb nog niet precies geanalyseerd waar de geïnjecteerde code op controleert om ongeautoriseerde toegang mogelijk te maken. Aangezien dit wordt uitgevoerd in een pre-authenticatie context, lijkt het waarschijnlijk om een vorm van toegang of een andere vorm van remote code execution toe te staan," aldus Freund.

"In eerste instantie liet het starten van sshd buiten systemd de vertraging niet zien, ondanks dat de achterdeur kort werd aangeroepen. Dit lijkt deel uit te maken van een aantal tegenmaatregelen om analyse moeilijker te maken."


Afbeelding


Red Hat keert terug naar XZ 5.4.x in Fedora Beta

Red Hat volgt dit beveiligingsprobleem nu als CVE-2024-3094, kent het een 10/10 ernstscore toe en keert terug naar 5.4.x versies van XZ in Fedora 40 beta.

De kwaadaardige code is versluierd en kan alleen gevonden worden in het complete download pakket, niet in de Git distributie, die de M4 macro mist, die het achterdeur bouwproces activeert.

Als de kwaadaardige macro aanwezig is, worden de tweede-fase artefacten die gevonden zijn in de Git repository geïnjecteerd tijdens het bouwen.

"De resulterende kwaadaardige build interfereert met de authenticatie in sshd via systemd. SSH is een veelgebruikt protocol om op afstand verbinding te maken met systemen, en sshd is de service die toegang mogelijk maakt," aldus Red Hat.

"Onder de juiste omstandigheden kan deze storing een kwaadwillende actor in staat stellen om de sshd-authenticatie te doorbreken en op afstand ongeautoriseerde toegang tot het hele systeem te krijgen."

CISA heeft vandaag ook een advisory gepubliceerd waarin ontwikkelaars en gebruikers worden gewaarschuwd om te downgraden naar een niet-gecompromitteerde XZ-versie (d.w.z. 5.4.6 Stable) en te jagen op kwaadaardige of verdachte activiteiten op hun systemen.
Fulltime forumbeheerder overdag, astronaut en kwantumfysicus 's nachts.
Gebruikersavatar
Peer76
Berichten: 145
Lid geworden op: 19 aug 2023, 21:00
Locatie: 127.0.0.1
Has thanked: 106 times
Been thanked: 134 times

Re: Red Hat waarschuwt voor backdoor in XZ-tools die door de meeste Linux-distro's worden gebruikt

#2

Bericht door Peer76 »

Het gaat dus om de xz versie 5.6.0 en 5.6.1 die de backdoor bevatten.
Zelf heb ik versie 5.2.5 (Ubuntu) en 5.4.6 (Gentoo).
Laatst gewijzigd door Peer76 op 02 apr 2024, 21:16, 1 keer totaal gewijzigd.
www.gouwepeer.nl
Gebruikersavatar
Peer76
Berichten: 145
Lid geworden op: 19 aug 2023, 21:00
Locatie: 127.0.0.1
Has thanked: 106 times
Been thanked: 134 times

Re: Red Hat waarschuwt voor backdoor in XZ-tools die door de meeste Linux-distro's worden gebruikt

#3

Bericht door Peer76 »

Voor wie zijn/haar versie wil controleren kan deze opdrachtregel uitvoeren:

Code: Selecteer alles

xz -V
www.gouwepeer.nl
Gebruikersavatar
Joshua Orbit
Berichten: 28
Lid geworden op: 28 jan 2024, 05:19
Locatie: Hongarije
Has thanked: 4 times
Been thanked: 10 times

Re: Red Hat waarschuwt voor backdoor in XZ-tools die door de meeste Linux-distro's worden gebruikt

#4

Bericht door Joshua Orbit »

Men spreekt op sommige Fora over een kwaadaardig opzet achter deze bug.

Ik heb toch minder de neiging om een bug als opzettelijk kwaadaardig te gaan noemen. Helaas ben ik GEEN code-expert, dus gissen is ook voor mij nu van doen .

Toch de Zorin-gebruikers goed informeren lijkt me primair in deze ongelukkige situatie.
Want ook voor mij is een multi-boot Fedora - Zorin van doen. lol
Gebruikersavatar
Joshua Orbit
Berichten: 28
Lid geworden op: 28 jan 2024, 05:19
Locatie: Hongarije
Has thanked: 4 times
Been thanked: 10 times

Re: Red Hat waarschuwt voor backdoor in XZ-tools die door de meeste Linux-distro's worden gebruikt

#5

Bericht door Joshua Orbit »

Om het ontstellende nieuws op te volgen :

er zijn patches uitgebracht en de XZ-tools worden vanaf nu als veilig gezien door Red Hat, Fedora en dus ook Debian - Ubuntu .

Voor Zorin-gebruikers was er niet echt drama, de versies lopen wat achter op de nieuwste pakketten. Maar voor de upgrades staan nu de deuren wijd open.

Dit Topic mag dus als OPGELOST omschreven worden.
Plaats reactie

Terug naar “Linux nieuws en tips”