Re: xz 5.6.x wurde kompromittiert
Verfasst: 10.04.2024 17:44:06
Damit fällt systemd als Angriffsvektor aus.
debianforum.de
die deutschsprachige Supportwebseite rund um das Debian-Projekt
https://debianforum.de/forum/
xz 5.6.x wurde kompromittiert
Seite 4 von 4
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 07:25:14
Ich will kein Fass aufmachen, die Zusammenhänge aber schon mehr verstehen. Wird systemd als Angriffsvektor gesehen?
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 07:29:52
openssh enthält xz nur in Distributionen mit systemd (weil openssh da Benachrichtigungen über den Bus schickt oder sowas, hab die Details nicht im Kopf).
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 07:59:49
Ich verstehe von dem ganzen Fachchinesisch so gut wie gar nichts, deshalb muss ich meine Frage nochmal einfacher stellen:
sind Apple-Computer nun ebenso genauso angreifbar ?
Bei uns steigen viele Schulen besonders private auf MacOs, iPhone und iPad um. Die Eltern der Schüler wollten es so, und scheuen auch nicht die relativ hohen Kosten
sind Apple-Computer nun ebenso genauso angreifbar ?
Bei uns steigen viele Schulen besonders private auf MacOs, iPhone und iPad um. Die Eltern der Schüler wollten es so, und scheuen auch nicht die relativ hohen Kosten
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 08:08:26
xz-utils sind in Devuan stable (bekanntlich ohne systemd) enthalten. Dieses Paket stellt die Kommandozeilenwerkzeuge zur Arbeit mit dem XZ-TRex hat geschrieben:11.04.2024 07:29:52openssh enthält xz nur in Distributionen mit systemd (weil openssh da Benachrichtigungen über den Bus schickt oder sowas, hab die Details nicht im Kopf).
Format bereit, u.A. xz, unxz, xzcat, xzgrep usw.
openssh-client, openssh-server, openssh-sftp-server etc. sind auch in Devuan vorhanden. Mit Ssh können X11-Verbindungen und beliebige TCP/IP-Ports weitergeleitet werden.
Mir fehlt leider das Verständnis der Zusammenhänge, aber ich überlege, welche Rolle X11 und systemd bei der Angelegenheit spielen.
Bringt Wayland mehr Sicherheit? Bringen systemd-freie Systeme mehr Sicherheit?
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 08:23:09
Auch wenn ich es mir anders wünschte, aber wir sind hier nicht bei "Wünsch Dir was". Sicherheit ist eine Illusion. Die dieses Einschleusen verursacht haben, waren Profis. Die werden es auf anderem Wege wieder versuchen. Es wird ein ewiger Kampf zwischen Angriff und Abwehr bleiben. Da bin ich mir ziemlich sicher.
Gruß ralli
Gruß ralli
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 08:29:48
Ich kann es nicht beurteilen, aber Dr. Datenschutz ist immer eine gute Anlaufstelle für diese Fragen. Such doch mal bei denen: https://www.dr-datenschutz.de/apple-iph ... marketing/berlinerbaer hat geschrieben:11.04.2024 07:59:49... sind Apple-Computer nun ebenso genauso angreifbar ? ...
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 08:37:02
Exakt! Deshalb machen wir uns ja auch Gedanken darüber. Es ist sicher unbestritten, dass manche Systeme bzw. Konfigurationen mehr, andere weniger einladend sind, um es es auf anderem Wege wieder zu versuchen.
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 08:53:12
Debian Stable war nie betroffen. Die Backdoor ist gefunden worden, solange die xz-Version noch in unstable/testing war.
Bei Fedora bin ich mir nicht sicher, welcher Zweig der Distribution dort betroffen war.
MacOS ist nicht betroffen, wenn die Backdoor nur in Verbindung mit Systemd aktiv ist.
Inzwischen haben ja alle schon reagiert und die kompromitierte xz-Version entfernt/ersetzt. Darum ist *jetzt* kein neu aktualisiertes System mehr betroffen. Es sind auch nicht die Systeme betroffen, die laenger nicht aktualisiert waren.
Betroffen ist ueberhaupt nur wer die kompromitierte Version von xz auf dem System hat und zugleich die Voraussetzungen erfuellt, dass sich die Backdoor aktiviert, AFAIK ein OpenSSH-Server + Systemd. Wenn eines davon nicht zutrifft, dann wird die Backdoor nicht aktiviert. -- Soweit jedenfalls mein momentanes Verstaendnis.
Bei Fedora bin ich mir nicht sicher, welcher Zweig der Distribution dort betroffen war.
MacOS ist nicht betroffen, wenn die Backdoor nur in Verbindung mit Systemd aktiv ist.
Inzwischen haben ja alle schon reagiert und die kompromitierte xz-Version entfernt/ersetzt. Darum ist *jetzt* kein neu aktualisiertes System mehr betroffen. Es sind auch nicht die Systeme betroffen, die laenger nicht aktualisiert waren.
Betroffen ist ueberhaupt nur wer die kompromitierte Version von xz auf dem System hat und zugleich die Voraussetzungen erfuellt, dass sich die Backdoor aktiviert, AFAIK ein OpenSSH-Server + Systemd. Wenn eines davon nicht zutrifft, dann wird die Backdoor nicht aktiviert. -- Soweit jedenfalls mein momentanes Verstaendnis.
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 09:09:45
Siehst du, ich habe gerade bei mir nachgesehen und festgestellt, dass der OpenSSH-Server installiert ist. Ich weiß nicht, für was ich den brauche. Jedenfalls habe ich ihn einfach einmal wagemutig deinstalliert. So kann doch ein System auch wahrscheinlich etwas sicherer gemacht werden.
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 10:41:48
Habe ich auch gerade deinstalliert. System läuft noch, Homebanking auch. Also ohne openssh. Es sind noch paar kleine Sachen mit runter geflogen, ob da mal was fehlt, wird sich zeigen.
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 10:42:28
Jede Möglichkeit, sich interaktiv an einem System einloggen zu können, macht das System potentiell angreifbar. Wenn man also nicht die Möglichkeit braucht, sich über das Netz an einem Rechner einloggen zu können, reduziert man natürlich die Angriffsfläche, indem man solche Programme deinstalliert.Virya hat geschrieben:11.04.2024 09:09:45Siehst du, ich habe gerade bei mir nachgesehen und festgestellt, dass der OpenSSH-Server installiert ist. Ich weiß nicht, für was ich den brauche. Jedenfalls habe ich ihn einfach einmal wagemutig deinstalliert. So kann doch ein System auch wahrscheinlich etwas sicherer gemacht werden.
Dazu gehört aber nicht nur sshd sondern auch alle vncserver, alle rdpserver, telnetd, rlogind, X11 ... Zumindest sollte man solche Deinste so konfigurieren, daß sie nicht auf Anfragen aus dem Netz reagieren (X11 ist z.B. von Haus aus so konfiguriert, daß es nicht auf Netzanfragen reagiert sondern nur local auf 127.0.0.1 antwortet).
Bevor ich mir über SSH Sorgen mache, würde ich vor allem mal die Dinge abschalten, die unverschlüsselt durch das Netz transportiert werden, oder zumindest so konfigurieren, daß sie nur durch einen SSH/VPN-Tunnel erreichbar sind.
Ich schätze den sshd allerdings sehr und habe ihn auf praktisch allen Rechnern laufen, um mich auf den jeweiligen Rechner einloggen zu können. Ich habe auch gar nicht genug Tastaturen und Bildschirm, um mich an jedem meiner Rechner lokal anmelden zu können.
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 11:04:07
So sehr relevant die Backdoor fuer die Entwicklungsstrukturen ist, so wenig relevant ist sie fuer Endanwendern.
Natuerlich ist es gut, nicht genutzte Dienste zu deinstallieren, zu deaktiveren oder sicher zu konfigurieren -- das ist generell sinnvoll; mit der xz-Backdoor hat das aber recht wenig zu tun.
Ich sehe keinen durch diese Backdoor noetigen Handlungsbedarf fuer Endanwender (die Stable-Versionen nutzen).
Natuerlich ist es gut, nicht genutzte Dienste zu deinstallieren, zu deaktiveren oder sicher zu konfigurieren -- das ist generell sinnvoll; mit der xz-Backdoor hat das aber recht wenig zu tun.
Ich sehe keinen durch diese Backdoor noetigen Handlungsbedarf fuer Endanwender (die Stable-Versionen nutzen).
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 11:11:29
Ja, wenn man es braucht, braucht man es. Dann muss es auf dem Rechner bleiben. Aber Danke für den Tipp mit vncserver, alle rdpserver, telnetd, rlogind. Nichts davon ist auf meinem Rechner, den ich gerade verwende. X11 ist drauf, weil Xfce drauf ist, ich mag es sehr, weil ich so viele Jahre damit gut gearbeitet habe, aber meist, wie jetzt auch, verwende ich Plasma mit Wayland. Jedenfalls denke ich jetzt, dass mit vielen Installationen auch Dinge auf den Rechner kommen, die nicht gebraucht werden und die für Angriffe ausgenutzt werden können. Ich glaube, da wissen User wie ich, zu wenig Bescheid.MSfree hat geschrieben:11.04.2024 10:42:28... vncserver, alle rdpserver, telnetd, rlogind, X11 ...
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 12:14:46
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 12:21:54
BTW: Nur installiert oder auch konfiguriert ( und lauschend)? Wenn lauschend, dann auch so, dass er aus dem Internet erreicht werden kann? Erstellt der sshd (... wenn als backdoor fungierend) auch dann eine Verbindung ins Internet her, wenn er lediglich installiert ist?Virya hat geschrieben:11.04.2024 09:09:45... festgestellt, dass der OpenSSH-Server installiert ist. Ich weiß nicht, für was ich den brauche. ...
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 12:37:50
Wenn man unter Debian den sshd mit
Code: Alles auswählen
apt-get install ssh-serverRe: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 12:43:44
Naja, wenn er nicht auf einem border device installiert ist, sondern hinter einerm Router oder wenn die default policy der INPUT chain auf DROP ist, ist er nicht (sofort) aus allen Netzen erreichbar. Es gibt aber auch Systeme, da ist er per default installiert aber sofort nach der Installation noch nicht aktiviert (d. h. er lauscht nicht).
Re: xz 5.6.x wurde kompromittiert
Verfasst: 11.04.2024 13:35:45
Bei Debian mußte ich bisher bei Neuinstallationen den sshd explizit auswählen, sonst war der nicht installiert. Beim Raspberry Pi OS ist sshd zwar installiert, muß aber explizit mit raspi-config (oder systemctl) aktiviert werden.mat6937 hat geschrieben:11.04.2024 12:43:44Es gibt aber auch Systeme, da ist er per default installiert aber sofort nach der Installation noch nicht aktiviert (d. h. er lauscht nicht).
Re: xz 5.6.x wurde kompromittiert
Verfasst: 13.04.2024 19:38:01
Das Thema wurde heute auch im Radio („Computer und Kommunikation“ im DLF) behandelt:
https://podcast-mp3.dradio.de/podcast/2 ... kation-102
Gruß
Gregor
https://podcast-mp3.dradio.de/podcast/2 ... kation-102
Gruß
Gregor
Re: xz 5.6.x wurde kompromittiert
Verfasst: 13.04.2024 20:16:10
Wenn ich den Bericht mit dem tatsächlichen Sachverhalt vergleiche, bin ich zugegebenermaßen etwas enttäuscht. Verhältnismäßig viele überwiegend kleine Ungenauigkeiten und Detailfehler, obwohl sie einen „Experten“ zur Hand hatten.
Gut – nicht ganz so schlimm wie etwa die Berichterstattung etwa bei n-tv oder gar Springers Unterhaltungsblatt für Leseschwache, aber wie gesagt: in meinen Augen etwas enttäuschend.
Gut – nicht ganz so schlimm wie etwa die Berichterstattung etwa bei n-tv oder gar Springers Unterhaltungsblatt für Leseschwache, aber wie gesagt: in meinen Augen etwas enttäuschend.
Re: xz 5.6.x wurde kompromittiert
Verfasst: 13.04.2024 20:36:37
Für eine halbstündige Radiosendung, die auch noch andere interessante Themen behandelt, finde ich das schon ganz gut. Mir gefällt, dass eher grundsätzliche Implikationen/Probleme angesprochen werden, also das mit den nicht immer so gut funktionierenden Peer-Reviews z.B.niemand hat geschrieben:13.04.2024 20:16:10Wenn ich den Bericht mit dem tatsächlichen Sachverhalt vergleiche, bin ich zugegebenermaßen etwas enttäuscht. Verhältnismäßig viele überwiegend kleine Ungenauigkeiten und Detailfehler, obwohl sie einen „Experten“ zur Hand hatten.
Gut – nicht ganz so schlimm wie etwa die Berichterstattung etwa bei n-tv oder gar Springers Unterhaltungsblatt für Leseschwache, aber wie gesagt: in meinen Augen etwas enttäuschend.
Als Text zum Lesen kann diesbezügliche Information schon qua Medium umfangreicher sein und ins Detail gehen.
Gruß
Gregor
Re: xz 5.6.x wurde kompromittiert
Verfasst: 13.04.2024 21:17:22
Vom Umfang her war’s schon okay, von der Abdeckung auch. Ich meinte eher so Sachen wie „die […] Hintertür namens »xz«“, dass der sshd „zwei Dutzend Bibliotheken“ einbinden würde, die Behauptung, dass sämtliche Linuxserver mit ssh spätenstens im Spätsommer angreifbar gewesen wären, wenn man’s nicht gefunden hätte – so Kleinigkeiten halt, die mit etwas Sorgfalt nicht aufgetreten wären.GregorS hat geschrieben:13.04.2024 20:36:37Als Text zum Lesen kann diesbezügliche Information schon qua Medium umfangreicher sein und ins Detail gehen.
Re: xz 5.6.x wurde kompromittiert
Verfasst: 14.04.2024 10:08:22
Seriöse Berichterstattung gibt es kaum noch oder selten. Es wird erhöht, aufgebauscht und Ängste geschürt. So funktioniert es, wenn die Quote wichtig ist. Quote geht oft zu Lasten der inhaltlichen Qualität. Schade, aber die Realität.
Gruß ralli
Gruß ralli
Re: xz 5.6.x wurde kompromittiert
Verfasst: 14.04.2024 11:26:50
Die notwendige Berichterstattung war zu Ende, als die ersten Analysen das Geschehene erfasst und erklärt haben. Was danach kam, war überwiegend kommerziell motiviert - es wurde schon alles gesagt, nur nicht von allen.