Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
🔴 Alert. Ktoś zbackdoorował narzędzie xz (służy do kompresji/dekompresji; narzędzie jest bardzo popularne w świecie Linuksa). CVE-2024-3094
Sprawa jest rozwojowa, a jeśli ktoś chce przejść od razu do oryginalnego zgłoszenia problemu – zapraszam tutaj.
Backdoor pojawił się w wersjach 5.6.0 and 5.6.1 (xz-utils) i występuje w oficjalnych archiwach .tgz narzędzia (nie ma go w kodzie w repozytorium GitHub). Obecnie wersja 5.6.1 jest najnowsza, a 5.6.0 została wypuszczona nieco ponad miesiąc temu.
Trwa cały czas analiza backdoora, a w tym raporcie jest mowa o tym, że prawdopodobnie umożliwia on przejęcie dostępu do serwera z wykorzystaniem ssh (w linkowanej analizie jest też skrypt sprawdzający czy nie mamy przypadkiem zbackdoorowanego ssh; przy czym przed uruchomieniem skryptu warto zrozumieć co on konkretnie robi; odpalacie na własne ryzyko).
Redhat wydał właśnie „Urgent security alert for Fedora 41 and Rawhide” i wskazuje, że podatne narzędzie było/jest w Fedorze 41. Nie są podatne dystrybucje RHEL.
Debian szczegóły przedstawia tutaj. OpenSuse reaguje tutaj. Kali Linux – tutaj.
~ms
Chain supply failure:
https://twitter.com/kalilinux/status/1773786266074513523
Debian bezpieczny, chyba że ktoś siedział na SID.
Za : bookworm, bullseye, buster vulnerable code not present.
> Be me
> Posprzątaj chatę
> zrób sałatkę
> wyskocz poświęcić potrawy
> połóż się na chwilę odpocząć
> „a zobaczę co tam na sekuraku”
> nosz …., jeszcze trzeba serwery przejrzeć :/
> brak profitu
W sumie u mnie nie było podatnych wersji. Ale warto podkreślić, że podatność jest nie w samym pakiecie xz ale bibliotece lzma która w nim siedzi. Ta biblioteka może być dołączona jako stand-alone do jakiegoś innego programu/pakietu, także nie ograniczajcie się do sprawdzenia `xz –version`, sprawdźcie czy gdzieś jeszcze ta biblioteka nie siedzi (chociaż są małe szanse że będzie w podatnej wersji)
Na Hacker Newsach ludzie piszą że ten podatny pakiet przychodził z Homebrew jeżeli niedawno zrobiliście `brew update`, także posiadaczom jabłek polecam odpalić `brew update`, przyjdzie wersja bez podatności.
*polecam PONOWNIE odpalić `brew update`
Dziękuję, że ktokolwiek w Polsce o tym pisze. To jest jeszcze o wiele ważniejsze, niż zastrzeganie peselu, wycieki danych, czy inne, fajnie medialne wydarzenia. Co z tego, że mi pesel nie wyciekł, jak na maszynie bazodanowej z moimi danymi byłby libxz w wersji 5.6.x ?
Nie ma Fedora 41, aktualna to 39, jest beta 40
Co ciekawe, poza samym backdoorem dodano też „kropkę” do kodu, który podczas budowania sprawdzał czy mamy Linuxa, który wspiera landlocka (nowy LSM, który pełni rolę sandboxa) — przez co ten kod nigdy się nie budował i landlock nie był włączany.
Można to zobaczyć na screenie w tym wpisie, jak i inne podobne tego typu błędy, które kiedyś znalazłem: https://twitter.com/disconnect3d_pl/status/1774496509259645392
PS: Apropo linków do szczegółów danego distro, to Arch Linux ma to fajnie zrobione, bo w 'source’ mają linki do różnych innych distro: https://security.archlinux.org/CVE-2024-3094
Russian or Chineese Special Forces?