Notebookcheck Logo

Backdoor geïnjecteerd in XZ-compressietools in verschillende Linux-distributies

Groot beveiligingslek bedreigt verschillende Linux-distributies, vooral de distributies die snel updaten (Afbeelding: gegenereerd met Dall-E 3)
Groot beveiligingslek bedreigt verschillende Linux-distributies, vooral de distributies die snel updaten (Afbeelding: gegenereerd met Dall-E 3)
Er is een kritiek lek ontdekt in de compressietools van XZ, waardoor toegang op afstand mogelijk is via SSH-logins op afstand. Vooral rollende Linux-distributies worden getroffen, er is al een update beschikbaar.
Security Linux / Unix

Vanwege ongebruikelijk hoog CPU-gebruik en foutmeldingen bij het gebruik van inloggen op afstand via SSH, ontdekte software-ontwikkelaar Andreas Freund een enorm veiligheidsgat in zijn Debian SID-installatie. De ontwikkelaar kon de oorzaak identificeren als XZ-Tools, een verzameling compressietools die in veel Linux-distributies zit en gebruikt wordt door SSH.

Het beveiligingslek, met de naam CVE-2024-3094maakt onbevoegde toegang op afstand tot getroffen Linux-systemen mogelijk. De versies die getroffen zijn door de achterdeur zijn de XZ hulpprogramma's en de bijbehorende liblmza bibliotheek in versies 5.6.0 van eind februari en 5.6.1 van 9 maart. Deze gecompromitteerde XZ-versies, geïntroduceerd door een van de XZ-ontwikkelaars zelf, omzeilen SSH-authenticatie, waardoor aanvallers volledige controle op afstand over het systeem kunnen krijgen.

Softwareontwikkelaar Andreas Freund schrijft over zijn ontdekking van de kwetsbaarheid: "Na het observeren van een aantal vreemde symptomen rond liblzma (onderdeel van het xz pakket) op Debian sid installaties in de afgelopen weken (inloggen met ssh kost veel CPU, valgrind fouten) kwam ik achter het antwoord: De upstream xz repository en de xz tarballs zijn backdoored. Eerst dacht ik dat dit een compromis was met Debian's pakket, maar het blijkt upstream te zijn."

De achterdeurcode was slechts gedeeltelijk verborgen in de open source code op GitHub, en GitHub zelf heeft het XZ Utilities account voorlopig opgeschort. Getroffen Linux distributies, waarvoor al updates beschikbaar zijn, met uitzondering van Fedora Rawhide, zijn

  • Debian Test, Onstabiel en Experimenteel
  • Fedora Rawhide
  • Arch Linux
  • openSUSE Tumbleweed

Distributies zoals Debian Stable, Fedora 39, openSUSE Leap of Red Hat Enterprise Linux (RHEL) worden niet getroffen door de kwetsbaarheid in XZ Utilities. Als u een van de bovenstaande Linux-distributies gebruikt, kunt u het versienummer van XZ Utilities in de console controleren met xz -version. In het ideale geval is een nieuwe installatie aan te raden, vooral als SSH-toegang is ingeschakeld op het Linux-systeem.

Gelijkaardige Artikels

De nieuw ontdekte kwetsbaarheid baart de Linux-gemeenschap zorgen (afbeelding: gegenereerd met Dall-E 3).
Nieuw Linux kernel lek geeft aanvallers root privileges 13-04-2024
Als deze trend doorzet, zou de Linux-desktop in de toekomst de grens van 5% kunnen doorbreken (Afbeelding: gegenereerd met Dall-E 3).
Linux-desktop blijft groeien met een marktaandeel van vier procent 11-04-2024
Het EndeavourOS-team neemt afscheid van de ARM-versie (Afbeelding: EndeavourOS).
EndeavourOS stopt met de ontwikkeling van de ARM-versie van de Linux-distributie 09-04-2024
Fedora Linux 40 beta nu beschikbaar (Bron: Fedora Magazine)
Een nieuwe Fedora Linux 40 beta release is nu beschikbaar 27-03-2024
KDE's Global Themes staan scripts toe om commando's uit te voeren als de root-gebruiker, wat een potentieel veiligheidsrisico oplevert voor gebruikers van de Linux desktopomgeving. (Afbeeldingsbron: KDE - bewerkt)
Beveiligingsnachtmerrie van KDE Plasma theming: scriptfunctie kan rootopdrachten uitvoeren, inclusief de ergste Linux-memo 26-03-2024
Orange Pi Neo zal scherp geprijsd zijn (Afbeeldingsbron: Manjaro)
Linux-gebaseerde Orange Pi Neo gaming handheld met AMD Ryzen 7 begint bij $499 26-03-2024
System76 lanceert de 2024 Lemur Pro met Intel Meteor Lake-processors (bron: System76)
System76 Lemur Pro Linux-laptop wordt bijgewerkt met Intel Meteor Lake-processors 22-03-2024
PlaytronOS is een nieuw op Linux gebaseerd besturingssysteem dat SteamOS en Windows hoopt uit te dagen voor game-handhelds. (Afbeeldingsbron: Playtron)
PlaytronOS: nieuw Linux-spelbesturingssysteem wil Windows en SteamOS van de troon stoten met ondersteuning voor 'elke winkel' 22-03-2024
Nvidia Reflex landt op Steam Play via VKD3D-Proton 2.12 (Afbeeldingsbron: Nvidia)
Steam Play krijgt Nvidia Reflex via VKD3D-Proton update op Linux 17-03-2024
Please share our article, every link counts!
> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2024 03 > Backdoor geïnjecteerd in XZ-compressietools in verschillende Linux-distributies
Alexander Pensler, 2024-03-30 (Update: 2024-03-30)