Notebookcheck Logo

Backdoor in XZ-Komprimierungstools in mehrere Linux-Distributionen eingeschleust

Massive Sicherheitslücke gefährdet mehrere Linux-Distributionen, vor allem solche, die schnell aktualisiert werden (Bild: generiert mit Dall-E 3)
Massive Sicherheitslücke gefährdet mehrere Linux-Distributionen, vor allem solche, die schnell aktualisiert werden (Bild: generiert mit Dall-E 3)
In den XZ-Kompressionstools wurde eine kritische Sicherheitslücke entdeckt, die einen Fremdzugriff über SSH-Remote-Logins ermöglicht. Betroffen sind insbesondere rollende Linux-Distributionen, ein Update ist bereits verfügbar.
Security Linux / Unix

Aufgrund ungewöhnlich hoher CPU-Auslastung und Fehlermeldungen bei der Nutzung des Remote-Logins über SSH ist dem Softwareentwickler Andres Freund eine massive Sicherheitslücke in seiner Debian SID-Installation aufgefallen. Als Ursache konnte der Entwickler die XZ-Tools ausmachen, eine Sammlung von Kompressionswerkzeugen, die in vielen Linux-Distributionen enthalten sind und teilweise auch von SSH genutzt werden.

Die Sicherheitslücke mit der Bezeichnung CVE-2024-3094 ermöglicht einen nicht autorisierten Fernzugriff auf betroffene Linux-Systeme. Die von der Backdoor betroffenen Versionen sind die XZ Utilities und die zugehörige Bibliothek „liblmza“ in den Versionen 5.6.0 von Ende Februar und 5.6.1 vom 9. März 2024. Diese kompromittierten XZ-Versionen, die von einem der XZ-Entwickler selbst eingebracht wurden, umgehen die SSH-Authentifizierung, wodurch Angreifer aus der Ferne weitreichende Kontrolle über das System erlangen können.

Software-Entwickler Andres Freund schreibt zu seiner Entdeckung dieser Sicherheitslücke: "Nachdem ich in den letzten Wochen einige seltsame Vorkomnisse im Zusammenhang mit liblzma (Teil des xz-Pakets) auf Debian-Sid-Installationen beobachtet habe (Logins mit ssh, die viel CPU benötigen, valgrind-Fehler), habe ich die Antwort herausgefunden: Das Upstream-xz-Repository und die xz-Tarballs wurden mit einem Backdoor versehen. Zuerst dachte ich, es handele sich um eine Kompromittierung des Debian-Pakets, aber es stellte sich heraus, dass es Upstream ist."

Dabei war der Backdoor-Code nur teilweise und im offenen Quellcode auf GitHub versteckt, GitHub selbst hat den Account von XZ Utilities vorerst gesperrt. Betroffene Linux-Distributionen, für die aber mit Ausnahme von Fedora Rawhide bereits Updates verfügbar sind, sind:

  • Debian Testing, Unstable und Experimental
  • Fedora Rawhide
  • Arch Linux
  • openSUSE Tumbleweed

Distributionen wie Debian Stable, Fedora 39, openSUSE Leap oder Red Hat Enterprise Linux (RHEL) sind von der Sicherheitslücke in den XZ Utilities nicht betroffen. Wer eine der oben genannten Linux-Distributionen einsetzt, kann die Versionsnummer der XZ Utilities in der Konsole mit xz -version überprüfen. Im Idealfall wird eine Neuinstallation empfohlen, insbesondere wenn auf dem Linux-System der SSH-Zugang aktiviert ist.

Verwandte Artikel

In der Windows-Version des Telegram Messengers klaffte eine Sicherheitslücke (Bild: generiert mit Dall-E 3).
Schwachstelle in Windows-App des Telegram Messengers ermöglichte Code-Ausführung nach Klick auf Video 15.04.2024
Das US-Verteidigungsministerium ordnet wegen der Gefahr von Cyber-Angriffen den Austausch von Batteriespeichersystemen aus China an (Foto: Camp Lejeune - Lance Cpl. Loriann Dauscher).
US-Verteidigungsministerium verbietet proaktiv chinesische Batteriespeichersysteme aufgrund potentieller Bedrohungen aus dem Ausland 15.04.2024
Die neu entdeckte Sicherheitslücke sorgt für Unruhe in der Linux-Community (Bild: generiert mit Dall-E 3).
Neue Sicherheitslücke im Linux-Kernel verschafft Angreifern Root-Rechte 12.04.2024
DuckDuckGo-Nutzer aus den USA können das neue Privacy Pro Paket abonnieren (Bild: DuckDuckGo).
DuckDuckGo kombiniert drei Privatsphäre-Funktionen in einem neuen kostenpflichtigen Angebot 12.04.2024
Die Beta-Version von Ubuntu 24.04 steht zum Ausprobieren bereit (Bild: Canonical).
Beta-Version von Ubuntu 24.04 LTS mit GNOME 46 und Linux Kernel 6.8 zum Download verfügbar 12.04.2024
Der Linux-Desktop könnte bei anhaltendem Trend in Zukunft die 5-Prozent-Marke knacken (Abbildung: generiert mit Dall-E 3).
Linux-Desktop mit vier Prozent Marktanteil auf Erfolgskurs 11.04.2024
Hacker nutzen anfällige Facebook-Seiten, um Malware zu verbreiten (Bild: Midjourney).
Gefälschte Midjourney AI Facebook-Seite mit 1,2 Millionen Followern wegen Verbreitung von Malware gesperrt 11.04.2024
Bitdefender entdeckt Root-Schwachstelle in LG WebOS-basierten HDTVs und Monitoren für kommerzielle Beschilderung (Quelle: LG).
Bitdefender veröffentlicht Details zur Root-Schwachstelle in LG WebOS v4 bis v7, die LG HDTVs und kommerzielle Displays betrifft 10.04.2024
Das EndeavourOS-Team verabschiedet sich von der ARM-Version (Bild: EndeavourOS).
EndeavourOS stellt Entwicklung der ARM-Version der Linux-Distribution ein 09.04.2024
Ubuntu 24.04 soll Laptop-Nutzern längere Akkulaufzeiten bringen (Bild: Canonical).
Ubuntu 24.04 LTS soll die Energie-Effizienz der Linux-Distribution auf Laptops verbessern 08.04.2024
Das offizielle Poster zu OpenBSD 7.5 (Bild: OpenBSD).
OpenBSD 7.5 jetzt verfügbar 08.04.2024
Interessierte Entwickler können Anfragen zur Bearbeitung durch den KI-Assistenten Devin an Cognition Labs schicken (Bild: Cognition).
Erster KI-Softwareentwickler: Devin schreibt Code und kann komplette Programme generieren 05.04.2024
Mit neuen Features soll IntelliJ IDEA den Workflow von Java- und Kotlin-Entwicklern beschleunigen (Bild: JetBrains).
IntelliJ IDEA Version 2024.1 bringt praktische Neuerungen für JetBrains Java- und Kotlin-Entwicklungsumgebung 05.04.2024
Firefox Nightly jetzt auch mit vertikaler Darstellung der Tabs (Bild: Mozilla).
Firefox könnte in Zukunft vertikale Tabs erhalten 05.04.2024
Die grafische Umgebung ctwm von NetBSD (Quelle: NetBSD).
NetBSD 10.0 nach längerer Wartezeit erschienen 03.04.2024
Fedora Linux 40 ist als Betaversion verfügbar, der Einsatz auf Produktivsystemen wird noch nicht empfohlen (Bild: Fedora).
Fedora Linux 40 als Beta-Version mit GNOME 46 und Linux Kernel 6.8 veröffentlicht 27.03.2024
Die Globalen Themen von KDE erlauben es Skripten, Befehle als Root-Benutzer auszuführen, was ein potenzielles Sicherheitsrisiko für Benutzer der Linux-Desktopumgebung darstellt (Bild: KDE - bearbeitet).
Sicherheitslücke in KDE Plasma-Themes: Scripting-Funktion kann Root-Befehle ausführen, einschließlich des gefährlichsten Linux-Memes 27.03.2024
Ubuntu 16.04 LTS "Xenial Xerus" Logo (Quelle: Canonical).
Canonical verlängert Ubuntu LTS Support von 10 auf 12 Jahre 27.03.2024
Datensicherheit betrifft uns alle. Viele persönliche Daten wie Fotos, Videos oder Dokumente sind ein kostbares Gut und oft unersetzlich.
Ratgeber "Alle Daten sicher": Tipps gegen Datendiebstahl und -verlust 25.03.2024
Apples M1- und M2-Serie haben eine Schwachstelle namens "GoFetch" (Bild: Apple).
Apple M-Series Chips haben eine schwerwiegende Sicherheitslücke, deren Behebung zu Leistungseinbußen führt 22.03.2024
Linux-Desktop GNOME 46 erscheint mit experimentellem VRR-Support und mehr
Linux-Desktop GNOME 46 erscheint mit experimentellem VRR-Support und mehr 21.03.2024
Juno Computers Saturn 17 v5 startet zu Preisen ab 1.320 Euro (Bild: Juno Computers).
Linux-Hardwarehersteller Juno Computers veröffentlicht 17-Zoll-Laptop Saturn 17 v5 mit Intel i7-13620H, Geforce RTX 4000 GPUs und Ubuntu 16.02.2024
Die erste Alpha-Version des neuen Cosmic Desktop von System76 könnte schon bald erscheinen (Bild: System76).
Cosmic Desktop von System76 debütiert mit Linux-Distribution Pop!_OS 24.04 LTS, erste Alpha-Version in Sicht 16.02.2024
static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!
Mail Logo
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2024-03 > Backdoor in XZ-Komprimierungstools in mehrere Linux-Distributionen eingeschleust
Autor: Alexander Pensler, 30.03.2024 (Update: 31.03.2024)