Die Security-Community ist alarmiert: Wie ein Entwickler eher zufällig aufdeckte – er forschte nach der Ursache mysteriöser Leistungsprobleme bei SSH-Verbindungen –, steckt in der liblzma-Bibliothek eine Hintertür. Zwar gaben die großen Linux-Distributionen Entwarnung für ihre stabilen Versionen, in verschiedenen Linux-Varianten, Unstable-Versionen sowie in der Homebrew-Werkzeugsammlung für macOS steckte die Backdoor jedoch. Sie ist dort allerdings nicht unbedingt ausnutzbar.

  • reddOPM
    link
    fedilink
    Deutsch
    arrow-up
    2
    ·
    9 months ago

    ganz grosses Kino:

    xz wurde gebackdoort. Die Story ist schon ganz interessant. Aufgefallen ist es, weil die gebackdoorte Version Performanceprobleme hatte. Die Version mit Backdoor ist noch nicht wirklich verbreitet worden. Bei Debian haben anonyme Accounts darauf gedrängt, das Update mit der Backdoor anzunehmen. Eine ähnliche Geschichte, bei der die Version schnell released werden sollte, berichtet auch ein Fedora-Maintainer. Bei letzterem war es sogar so, dass der Fedora-Maintainer mit dem xz-Maintainer noch zusammen Speicherprobleme gelöst hat, damit sie die Version releasen können. Die Speicherprobleme kamen von genau der Backdoor. Ja, wirklich!

    https://blog.holz.nu/2024/03/29/0.html