Sicherheitslücke in Linux

  • Weiß nicht, ob ihr es schon wißt:

    Riesige Sicherheitslücke in Linux-Betriebssystem entdeckt
    In Linux wurde der Code in dem Softwaretool "XZ Utils" manipuliert. Ein Experte spricht von der "effektivsten Hintertür", die "jemals in ein Softwareprodukt…
    www.n-tv.de

    Bei mir sind ältere Versionen des genannten Tools installiert. Sollte man sich drum kümmern, wenn man Linux verwendet.

    Gruß Achim


    PC/GEOS unter Linux in der DOSEMU = UNSCHLAGBAR!

  • Also, so wie ich das verstehe, sind die betroffenen Versionen 5.60 und 5.61 von XZ noch nicht in den aktuell stabilen Linux-Distributionen enthalten. Wer aber eine Test- / Alpha- / Beta- oder was auch immer Unstabile / Leading Edge Distribution einsetzt, sollte sein System ueberpruefen.

    Von dem her wird die Suppe wieder einmal heisser gekocht als gegessen...

  • Guggst du hier. Das Problem schien nicht zu sein, dass es noch keinen Schade angerichtet hat, sondern dass es prinzipiell möglich ist und nur durch Zufall ausreichend früh entdeckt wurde.

    Die xz-Hintertür: Das verborgene Oster-Drama​ der IT
    Mit einer Hintertür in einer unbekannten Kompressionsbibliothek hätten Unbekannte beinahe große Teile des Internets übernehmen können. Leider kein Scherz.
    www.heise.de


    Rainer

    Es gibt 10 Arten von Menschen - die einen wissen was binär ist, die anderen nicht.

  • hanslse Yes, this backdoor is related to XZ Utils and their library.

    Rainer Ja, das ist aber ab einer gewissen Grösse von Software in allen Ökosystemen möglich. Auch Apple und Google haben schon bösartige Apps in Ihren App-Stores gehabt. Auch Microsoft, Cisco, Juniper und viele andere hatten schon Backdoors in Ihren Produkten, obwohl das Closed Source ist und niemand von aussen zugreifen konnte. Maulwürfe gibt es immer...

    Und dann ist da doch noch der Grafikkartenhersteller (EVGA?), welcher seine Grakas mit einem VIrus im VGA-BIOS ausgeliefert haben. Zu einer Zeit, als das BIOS noch in einem ROM und somit unveränderlich war.

    Auf jeden Fall hat die ganze Problematik meiner Meinung nach überhaupt nichts mit Open Source vs Closed Source zu tun und welche Platformen eingesetzt werden. Sondern einfach damit, wie einfallreich die Angreifer sein können. Der Pegasus Staats-Trojaner war in dieser Hinsicht sicher ein Highlight...

  • bolle732 An OpenSource vs ClosedSource hatte ich gar nicht gedacht. Mein allererster PC hatte bei der Auslieferung auch eine YankeeDoodle (harmlos) und einen Stoned (richtig bösartig) auf der Platte resp. den mitgelieferten Diskettten. Die Jungs vom Computershop haben das nur gelöst bekommen, indem sie die Platte völlig reformatiert haben - von 44 MB auf 40 MB. Man, das waren noch Zeiten!

    Rainer

    Es gibt 10 Arten von Menschen - die einen wissen was binär ist, die anderen nicht.