xz 5.6.x wurde kompromittiert

[Livingston]

Das MacOS ist doch sowas wie ein Unix, oder?

Damit fällt systemd als Angriffsvektor aus.

[Virya]

Damit fällt systemd als Angriffsvektor aus. ...

Ich will kein Fass aufmachen, die Zusammenhänge aber schon mehr verstehen. Wird systemd als Angriffsvektor gesehen?

[TRex]

openssh enthält xz nur in Distributionen mit systemd (weil openssh da Benachrichtigungen über den Bus schickt oder sowas, hab die Details nicht im Kopf).

[berlinerbaer]

Ich verstehe von dem ganzen Fachchinesisch so gut wie gar nichts, deshalb muss ich meine Frage nochmal einfacher stellen:
sind Apple-Computer nun ebenso genauso angreifbar ?
Bei uns steigen viele Schulen besonders private auf MacOs, iPhone und iPad um. Die Eltern der Schüler wollten es so, und scheuen auch nicht die relativ hohen Kosten

[Virya]

openssh enthält xz nur in Distributionen mit systemd (weil openssh da Benachrichtigungen über den Bus schickt oder sowas, hab die Details nicht im Kopf).

xz-utils sind in Devuan stable (bekanntlich ohne systemd) enthalten. Dieses Paket stellt die Kommandozeilenwerkzeuge zur Arbeit mit dem XZ-
Format bereit, u.A. xz, unxz, xzcat, xzgrep usw.
openssh-client, openssh-server, openssh-sftp-server etc. sind auch in Devuan vorhanden. Mit Ssh können X11-Verbindungen und beliebige TCP/IP-Ports weitergeleitet werden.
Mir fehlt leider das Verständnis der Zusammenhänge, aber ich überlege, welche Rolle X11 und systemd bei der Angelegenheit spielen.
Bringt Wayland mehr Sicherheit? Bringen systemd-freie Systeme mehr Sicherheit?

[ralli]

Auch wenn ich es mir anders wünschte, aber wir sind hier nicht bei "Wünsch Dir was". Sicherheit ist eine Illusion. Die dieses Einschleusen verursacht haben, waren Profis. Die werden es auf anderem Wege wieder versuchen. Es wird ein ewiger Kampf zwischen Angriff und Abwehr bleiben. Da bin ich mir ziemlich sicher.

Gruß ralli

[Virya]

... sind Apple-Computer nun ebenso genauso angreifbar ? ...

Ich kann es nicht beurteilen, aber Dr. Datenschutz ist immer eine gute Anlaufstelle für diese Fragen. Such doch mal bei denen: https://www.dr-datenschutz.de/apple-iph ... marketing/

[Virya]

... Die werden es auf anderem Wege wieder versuchen. ...

Exakt! Deshalb machen wir uns ja auch Gedanken darüber. Es ist sicher unbestritten, dass manche Systeme bzw. Konfigurationen mehr, andere weniger einladend sind, um es es auf anderem Wege wieder zu versuchen.

[Meillo]

Debian Stable war nie betroffen. Die Backdoor ist gefunden worden, solange die xz-Version noch in unstable/testing war.

Bei Fedora bin ich mir nicht sicher, welcher Zweig der Distribution dort betroffen war.

MacOS ist nicht betroffen, wenn die Backdoor nur in Verbindung mit Systemd aktiv ist.

Inzwischen haben ja alle schon reagiert und die kompromitierte xz-Version entfernt/ersetzt. Darum ist *jetzt* kein neu aktualisiertes System mehr betroffen. Es sind auch nicht die Systeme betroffen, die laenger nicht aktualisiert waren.

Betroffen ist ueberhaupt nur wer die kompromitierte Version von xz auf dem System hat und zugleich die Voraussetzungen erfuellt, dass sich die Backdoor aktiviert, AFAIK ein OpenSSH-Server + Systemd. Wenn eines davon nicht zutrifft, dann wird die Backdoor nicht aktiviert. -- Soweit jedenfalls mein momentanes Verstaendnis.

[Virya]

... OpenSSH-Server + Systemd. ...

Siehst du, ich habe gerade bei mir nachgesehen und festgestellt, dass der OpenSSH-Server installiert ist. Ich weiß nicht, für was ich den brauche. Jedenfalls habe ich ihn einfach einmal wagemutig deinstalliert. So kann doch ein System auch wahrscheinlich etwas sicherer gemacht werden.

[berlinerbaer]

Habe ich auch gerade deinstalliert. System läuft noch, Homebanking auch. Also ohne openssh. Es sind noch paar kleine Sachen mit runter geflogen, ob da mal was fehlt, wird sich zeigen.

[MSfree]

Siehst du, ich habe gerade bei mir nachgesehen und festgestellt, dass der OpenSSH-Server installiert ist. Ich weiß nicht, für was ich den brauche. Jedenfalls habe ich ihn einfach einmal wagemutig deinstalliert. So kann doch ein System auch wahrscheinlich etwas sicherer gemacht werden.

Jede Möglichkeit, sich interaktiv an einem System einloggen zu können, macht das System potentiell angreifbar. Wenn man also nicht die Möglichkeit braucht, sich über das Netz an einem Rechner einloggen zu können, reduziert man natürlich die Angriffsfläche, indem man solche Programme deinstalliert.

Dazu gehört aber nicht nur sshd sondern auch alle vncserver, alle rdpserver, telnetd, rlogind, X11 ... Zumindest sollte man solche Deinste so konfigurieren, daß sie nicht auf Anfragen aus dem Netz reagieren (X11 ist z.B. von Haus aus so konfiguriert, daß es nicht auf Netzanfragen reagiert sondern nur local auf 127.0.0.1 antwortet).

Bevor ich mir über SSH Sorgen mache, würde ich vor allem mal die Dinge abschalten, die unverschlüsselt durch das Netz transportiert werden, oder zumindest so konfigurieren, daß sie nur durch einen SSH/VPN-Tunnel erreichbar sind.

Ich schätze den sshd allerdings sehr und habe ihn auf praktisch allen Rechnern laufen, um mich auf den jeweiligen Rechner einloggen zu können. Ich habe auch gar nicht genug Tastaturen und Bildschirm, um mich an jedem meiner Rechner lokal anmelden zu können.

[Meillo]

So sehr relevant die Backdoor fuer die Entwicklungsstrukturen ist, so wenig relevant ist sie fuer Endanwendern.

Natuerlich ist es gut, nicht genutzte Dienste zu deinstallieren, zu deaktiveren oder sicher zu konfigurieren -- das ist generell sinnvoll; mit der xz-Backdoor hat das aber recht wenig zu tun.

Ich sehe keinen durch diese Backdoor noetigen Handlungsbedarf fuer Endanwender (die Stable-Versionen nutzen).

[Virya]

... vncserver, alle rdpserver, telnetd, rlogind, X11 ...

Ja, wenn man es braucht, braucht man es. Dann muss es auf dem Rechner bleiben. Aber Danke für den Tipp mit vncserver, alle rdpserver, telnetd, rlogind. Nichts davon ist auf meinem Rechner, den ich gerade verwende. X11 ist drauf, weil Xfce drauf ist, ich mag es sehr, weil ich so viele Jahre damit gut gearbeitet habe, aber meist, wie jetzt auch, verwende ich Plasma mit Wayland. Jedenfalls denke ich jetzt, dass mit vielen Installationen auch Dinge auf den Rechner kommen, die nicht gebraucht werden und die für Angriffe ausgenutzt werden können. Ich glaube, da wissen User wie ich, zu wenig Bescheid.

[ohnex]

hi,

Zum Thema gibt es bei segfault was auf die Ohren https://segfault.fm/episode/0x28-xz/

ciao

[mat6937]

... festgestellt, dass der OpenSSH-Server installiert ist. Ich weiß nicht, für was ich den brauche. ...

BTW: Nur installiert oder auch konfiguriert ( und lauschend)? Wenn lauschend, dann auch so, dass er aus dem Internet erreicht werden kann? Erstellt der sshd (... wenn als backdoor fungierend) auch dann eine Verbindung ins Internet her, wenn er lediglich installiert ist?

[MSfree]

BTW: Nur installiert oder auch konfiguriert...

Wenn man unter Debian den sshd mit

Code: Alles auswählen

apt-get install ssh-server

installiert, wird der automatisch als Service im systemd eingetragen, aktiviert und gestartet. Er ist also sofort mit der Standardkonfiguration lauschend aus allen Netzen erreichbar.

[mat6937]

... lauschend aus allen Netzen erreichbar.

Naja, wenn er nicht auf einem border device installiert ist, sondern hinter einerm Router oder wenn die default policy der INPUT chain auf DROP ist, ist er nicht (sofort) aus allen Netzen erreichbar. Es gibt aber auch Systeme, da ist er per default installiert aber sofort nach der Installation noch nicht aktiviert (d. h. er lauscht nicht).

[MSfree]

Es gibt aber auch Systeme, da ist er per default installiert aber sofort nach der Installation noch nicht aktiviert (d. h. er lauscht nicht).

Bei Debian mußte ich bisher bei Neuinstallationen den sshd explizit auswählen, sonst war der nicht installiert. Beim Raspberry Pi OS ist sshd zwar installiert, muß aber explizit mit raspi-config (oder systemctl) aktiviert werden.

[GregorS]

Das Thema wurde heute auch im Radio („Computer und Kommunikation“ im DLF) behandelt:
https://podcast-mp3.dradio.de/podcast/2 ... kation-102

Gruß

Gregor

[niemand]

Wenn ich den Bericht mit dem tatsächlichen Sachverhalt vergleiche, bin ich zugegebenermaßen etwas enttäuscht. Verhältnismäßig viele überwiegend kleine Ungenauigkeiten und Detailfehler, obwohl sie einen „Experten“ zur Hand hatten.
Gut – nicht ganz so schlimm wie etwa die Berichterstattung etwa bei n-tv oder gar Springers Unterhaltungsblatt für Leseschwache, aber wie gesagt: in meinen Augen etwas enttäuschend.

[GregorS]

Wenn ich den Bericht mit dem tatsächlichen Sachverhalt vergleiche, bin ich zugegebenermaßen etwas enttäuscht. Verhältnismäßig viele überwiegend kleine Ungenauigkeiten und Detailfehler, obwohl sie einen „Experten“ zur Hand hatten.
Gut – nicht ganz so schlimm wie etwa die Berichterstattung etwa bei n-tv oder gar Springers Unterhaltungsblatt für Leseschwache, aber wie gesagt: in meinen Augen etwas enttäuschend.

Für eine halbstündige Radiosendung, die auch noch andere interessante Themen behandelt, finde ich das schon ganz gut. Mir gefällt, dass eher grundsätzliche Implikationen/Probleme angesprochen werden, also das mit den nicht immer so gut funktionierenden Peer-Reviews z.B.

Als Text zum Lesen kann diesbezügliche Information schon qua Medium umfangreicher sein und ins Detail gehen.

Gruß

Gregor

[niemand]

Als Text zum Lesen kann diesbezügliche Information schon qua Medium umfangreicher sein und ins Detail gehen.

Vom Umfang her war’s schon okay, von der Abdeckung auch. Ich meinte eher so Sachen wie „die […] Hintertür namens »xz«“, dass der sshd „zwei Dutzend Bibliotheken“ einbinden würde, die Behauptung, dass sämtliche Linuxserver mit ssh spätenstens im Spätsommer angreifbar gewesen wären, wenn man’s nicht gefunden hätte – so Kleinigkeiten halt, die mit etwas Sorgfalt nicht aufgetreten wären.

[ralli]

Seriöse Berichterstattung gibt es kaum noch oder selten. Es wird erhöht, aufgebauscht und Ängste geschürt. So funktioniert es, wenn die Quote wichtig ist. Quote geht oft zu Lasten der inhaltlichen Qualität. Schade, aber die Realität.

Gruß ralli

[TRex]

Die notwendige Berichterstattung war zu Ende, als die ersten Analysen das Geschehene erfasst und erklärt haben. Was danach kam, war überwiegend kommerziell motiviert - es wurde schon alles gesagt, nur nicht von allen.