呕膮dny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
馃敶 Alert. Kto艣 zbackdoorowa艂 narz臋dzie xz (s艂u偶y do kompresji/dekompresji; narz臋dzie jest bardzo popularne w 艣wiecie Linuksa). CVE-2024-3094
Sprawa jest rozwojowa, a je艣li kto艣 chce przej艣膰 od razu do oryginalnego zg艂oszenia problemu – zapraszam tutaj.
Backdoor pojawi艂 si臋 w wersjach 5.6.0 and 5.6.1聽(xz-utils) i wyst臋puje w oficjalnych archiwach .tgz narz臋dzia (nie ma go w kodzie w repozytorium GitHub). Obecnie wersja 5.6.1 jest najnowsza, a 5.6.0 zosta艂a wypuszczona nieco ponad miesi膮c temu.
Trwa ca艂y czas analiza backdoora, a w tym raporcie jest mowa o tym, 偶e prawdopodobnie umo偶liwia on przej臋cie dost臋pu do serwera z wykorzystaniem ssh (w linkowanej analizie jest te偶 skrypt sprawdzaj膮cy czy nie mamy przypadkiem zbackdoorowanego ssh; przy czym przed uruchomieniem skryptu warto zrozumie膰 co on konkretnie robi; odpalacie na w艂asne ryzyko).
Redhat wyda艂 w艂a艣nie „Urgent security alert for Fedora 41 and Rawhide” i wskazuje, 偶e podatne narz臋dzie by艂o/jest w Fedorze 41. Nie s膮 podatne dystrybucje RHEL.
Debian szczeg贸艂y przedstawia tutaj. OpenSuse reaguje tutaj. Kali Linux – tutaj.
~ms
Chain supply failure:
https://twitter.com/kalilinux/status/1773786266074513523
Debian bezpieczny, chyba 偶e kto艣 siedzia艂 na SID.
Za : bookworm, bullseye, buster vulnerable code not present.
> Be me
> Posprz膮taj chat臋
> zr贸b sa艂atk臋
> wyskocz po艣wi臋ci膰 potrawy
> po艂贸偶 si臋 na chwil臋 odpocz膮膰
> „a zobacz臋 co tam na sekuraku”
> nosz …., jeszcze trzeba serwery przejrze膰 :/
> brak profitu
W sumie u mnie nie by艂o podatnych wersji. Ale warto podkre艣li膰, 偶e podatno艣膰 jest nie w samym pakiecie xz ale bibliotece lzma kt贸ra w nim siedzi. Ta biblioteka mo偶e by膰 do艂膮czona jako stand-alone do jakiego艣 innego programu/pakietu, tak偶e nie ograniczajcie si臋 do sprawdzenia `xz –version`, sprawd藕cie czy gdzie艣 jeszcze ta biblioteka nie siedzi (chocia偶 s膮 ma艂e szanse 偶e b臋dzie w podatnej wersji)
Na Hacker Newsach ludzie pisz膮 偶e ten podatny pakiet przychodzi艂 z Homebrew je偶eli niedawno zrobili艣cie `brew update`, tak偶e posiadaczom jab艂ek polecam odpali膰 `brew update`, przyjdzie wersja bez podatno艣ci.
*polecam PONOWNIE odpali膰 `brew update`
Dzi臋kuj臋, 偶e ktokolwiek w Polsce o tym pisze. To jest jeszcze o wiele wa偶niejsze, ni偶 zastrzeganie peselu, wycieki danych, czy inne, fajnie medialne wydarzenia. Co z tego, 偶e mi pesel nie wyciek艂, jak na maszynie bazodanowej z moimi danymi by艂by libxz w wersji 5.6.x ?
Nie ma Fedora 41, aktualna to 39, jest beta 40
Co ciekawe, poza samym backdoorem dodano te偶 „kropk臋” do kodu, kt贸ry podczas budowania sprawdza艂 czy mamy Linuxa, kt贸ry wspiera landlocka (nowy LSM, kt贸ry pe艂ni rol臋 sandboxa) — przez co ten kod nigdy si臋 nie budowa艂 i landlock nie by艂 w艂膮czany.
Mo偶na to zobaczy膰 na screenie w tym wpisie, jak i inne podobne tego typu b艂臋dy, kt贸re kiedy艣 znalaz艂em: https://twitter.com/disconnect3d_pl/status/1774496509259645392
PS: Apropo link贸w do szczeg贸艂贸w danego distro, to Arch Linux ma to fajnie zrobione, bo w 'source’ maj膮聽linki do r贸偶nych innych distro: https://security.archlinux.org/CVE-2024-3094
Russian or Chineese Special Forces?