Kirjoittaja Aihe: XZ -Havoittuvuus Linuxeissa  (Luettu 3218 kertaa)

maksim

  • Käyttäjä
  • Viestejä: 256
  • Mikähän tässä nyt mättää?????
    • Profiili
XZ -Havoittuvuus Linuxeissa
« : 30.03.24 - klo:12.38 »

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11485
    • Profiili
    • Tomin kotisivut
Vs: XZ -Havoittuvuus Linuxeissa
« Vastaus #1 : 30.03.24 - klo:13.06 »
Yksi asia tuosta ilmoituksesta puuttuu: Ilmeisesti tuo takaportti oli ainoastaan Githubista ladattavassa tar-pakkauksessa, eikä sitä ole laitettu versionhallintaan. Riippuen siitä miten jakelu hakee lähdekoodin siinä voi olla tai olla olematta haavoittuvaa koodia. Siellä myöskin mainitaan, että Arch olisi haavoittuva, mutta siihenkin on julkaistu päivitys (sen lisäksi ettei siinä ilmeisesti edes alkujaan ollut haavoittuvaa koodia).

Kannattaa myös huomata, että tuota versiota ei oltu päivitetty vielä useimpiin käytössä oleviin jakeluihin. Lähinnä kehitysversioiden ja joidenkin rollin release -jakeluiden paketit saattavat sen sisältää.

Lähteet:
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://hackaday.com/2024/03/29/security-alert-potential-ssh-backdoor-via-liblzma/
https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/issues/2
« Viimeksi muokattu: 30.03.24 - klo:13.20 kirjoittanut Tomin »
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

SuperOscar

  • Käyttäjä
  • Viestejä: 4065
  • Ocatarinetabellatsumtsum!
    • Profiili
    • Legisign.org
Vs: XZ -Havoittuvuus Linuxeissa
« Vastaus #2 : 30.03.24 - klo:17.43 »
Toisaalta ainakin Debianin bugisähköpostilistalla on oltu huolestuneita siitä, että takaportin tekijä vaikuttaa etsineen hyökkäyssuuntia jo jonkin aikaa. Vaikka tämä nimenomainen haavoittuvuus ei siis olisikaan levinnyt, kuinka varma voi olla siitä, etteikö jotakin olisi ujutettu koodiin jo aiemmin?
pöytäkone 1, NUC: openSUSE Leap 15.6, kannettavat 1–3: Debian GNU/Linux 12; pöytäkone 2: openSUSE Tumbleweed; RPi 1: FreeBSD 14-RELEASE; RPi 2: LibreELEC 11

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11485
    • Profiili
    • Tomin kotisivut
Vs: XZ -Havoittuvuus Linuxeissa
« Vastaus #3 : 31.03.24 - klo:16.55 »
Vaikka tämä nimenomainen haavoittuvuus ei siis olisikaan levinnyt, kuinka varma voi olla siitä, etteikö jotakin olisi ujutettu koodiin jo aiemmin?

Tuo on kyllä hyvä pointti. Ainakin yksi mahdollinen hyvin hienovarainen valmisteleva muutos on tehty vähän aiemmin.

Vähän lisää linkkejä kiinnostuneille:
Xz:n pitkäaikaisen kehittäjän kirjoitus aiheesta: https://tukaani.org/xz-backdoor/
Paljon yksityiskohtia tapahtuneesta, sopii kiinnostuneille: https://boehs.org/node/everything-i-know-about-the-xz-backdoor
« Viimeksi muokattu: 31.03.24 - klo:16.59 kirjoittanut Tomin »
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

qwertyy

  • Käyttäjä
  • Viestejä: 5781
    • Profiili
Vs: XZ -Havoittuvuus Linuxeissa
« Vastaus #4 : 03.04.24 - klo:19.22 »
https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html

Tuo on aika mielenkiintoinen. Onko tuossa ollut tarkoitus vaikuttaa ihan tämän Pavlovin koodiin mutkan kautta?

https://en.wikipedia.org/wiki/XZ_Utils

Joka tapauksessa vaikuttaa, että tuossa on prässätty luovuttamaan tuota projektin ylläpitoa muille. Jotenkin hyökkää tuo
Lainaus
As I have hinted in earlier emails, Jia Tan may have a bigger role in
the project in the future. He has been helping a lot off-list and is
practically a co-maintainer already. :-) I know that not much has
happened in the git repository yet but things happen in small steps. In
any case some change in maintainership is already in progress at least
for XZ Utils.

--
Lasse Collin

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11485
    • Profiili
    • Tomin kotisivut
Vs: XZ -Havoittuvuus Linuxeissa
« Vastaus #5 : 03.04.24 - klo:22.31 »
Akamailla on aika hyvä yleiskatsaus tähän haavoittuvuuteen:
https://www.akamai.com/blog/security-research/critical-linux-backdoor-xz-utils-discovered-what-to-know

Joka tapauksessa vaikuttaa, että tuossa on prässätty luovuttamaan tuota projektin ylläpitoa muille.

Näinhän siinä pääsi käymään.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

AimoE

  • Käyttäjä
  • Viestejä: 2783
    • Profiili
Vs: XZ -Havoittuvuus Linuxeissa
« Vastaus #6 : 04.04.24 - klo:06.19 »
Olikohan 90-luvulla, kun Emacs-editorin lähdekoodi lukittiin selvittelyä varten, kun joku oli päässyt tekemään vihamielisiä muutoksia. Taisi kestää vuosia ennen kuin selvittely oli ohi ja Emacsn pääsi jälleen lataamaan itselleen.

Kyllä näitä yrittäjiä on taatusti ollut koko ajan.

Efraiminpoika

  • Käyttäjä
  • Viestejä: 166
    • Profiili
Vs: XZ -Havoittuvuus Linuxeissa
« Vastaus #7 : 04.04.24 - klo:10.43 »
Oliko kyseessä klassinen valeidentiteetti, joka ympärille luotiin kärsivällisellä social engineeringillä luottamus: https://www.wired.com/story/jia-tan-xz-backdoor/
Oliko XZ Backdoor ainoa kohde?
"Paranoidi minäni" kysyy: onko vastaavaa tekeillä tai tehty muuallakin?
"Savolais minäni" vastaa: suattaapi olla että on, vuan suattaapi olla, että ei ookkaan
Tuleeko näitä lisää?
Varmasti.

eläkeläisäijä

A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.

AimoE

  • Käyttäjä
  • Viestejä: 2783
    • Profiili
Vs: XZ -Havoittuvuus Linuxeissa
« Vastaus #8 : 05.04.24 - klo:16.32 »
Yksi lukemisen arvoinen "back to basics" -tyyppinen artikkeli on Running the “Reflections on Trusting Trust” Compiler[/].