Backdoor scoperta in alcune versioni di XZ

[Sannythebest]

Le versioni 5.6.0 e 5.6.1-1 sono affette da backdoor

Se usate Debian Testing, Opensuse Tumbleweed, Fedora 40 e Rawhide, e Arch Linux (e derivate), aggiornate immediatamente!

Fonti:

Allerta di sicurezza: XZ colpito da codice dannoso che potrebbe consentire l'accesso non autorizzato al sistema remoto


The xz package has been backdoored


XZ Struck By Malicious Code That Could Allow Unauthorized Remote System Access

[Filoteo]

La versione malevola inietta nel demone SSH una backdoor che presumibilmente bypassa l’autenticazione in toto o per una specifica chiave/password/pacchetto magico. In caso di sistema affetto con SSH accessibile da internet la formattazione e invalidazione delle credenziali presenti sul sistema è d’obbligo. Non è ancora noto se SSH è l’unico danno cagionato.

[Sannythebest]

La versione malevola inietta nel demone SSH una backdoor che presumibilmente bypassa l’autenticazione in toto o per una specifica chiave/password/pacchetto magico. In caso di sistema affetto con SSH accessibile da internet la formattazione e invalidazione delle credenziali presenti sul sistema è d’obbligo. Non è ancora noto se SSH è l’unico danno cagionato.

Che intendi per invalidazione delle credenziali presenti?

[Filoteo]

Che intendi per invalidazione delle credenziali presenti?

Beh se il server o computer viene compromesso tramite la backdoor, l’hacker avrebbe accesso root al sistema, potendo quindi accedere a ogni dato sopra presente. Se sono presenti delle credenziali di ogni natura, aggiornare il server o formattarlo non è sufficiente a porre rimedio, bisogna invalidare e/o cambiare quelle credenziali.

[woddy68]

Ok, ma per l'utente comune che non usa SSH, ci sono problemi ?

[Filoteo]

Ok, ma per l'utente comune che non usa SSH, ci sono problemi ?

Come scritto sopra, ancora non è noto, al momento solo SSH pare effettivamente venire compromesso e mi pare di aver letto che faccia un controllo per il demone di fedora e debian/ubuntu (ragionevole, sono le distribuzioni più usate lato server dove SSH è solitamente esposto). xz è un tool di compressione/decompressione, quindi una marea di software ne fanno uso. Per citarne alcuni: https://archlinux.org/packages/core/x86_64/xz/

https://github.com/tukaani-project/xz/i ... 2027693435

[woddy68]

Ok, ma per l'utente comune che non usa SSH, ci sono problemi ?

Come scritto sopra, ancora non è noto, al momento solo SSH pare effettivamente venire compromesso e mi pare di aver letto che faccia un controllo per il demone di fedora e debian/ubuntu (ragionevole, sono le distribuzioni più usate lato server dove SSH è solitamente esposto). xz è un tool di compressione/decompressione, quindi una marea di software ne fanno uso. Per citarne alcuni: https://archlinux.org/packages/core/x86_64/xz/

Ho parlato con il manutentore di Tumbleweed e mi ha detto che la prossima istantanea sarà una ricostruzione completa o quasi a causa di questo.

[Filoteo]

Il problema potrebbe allargarsi, già dal 2021 lo sviluppatore ha modificato codice apparentemente innocuo in progetti simili (vedere commenti): https://github.com/libarchive/libarchive/pull/1609

[Sannythebest]

Il problema potrebbe allargarsi, già dal 2021 lo sviluppatore ha modificato codice apparentemente innocuo in progetti simili (vedere commenti): https://github.com/libarchive/libarchive/pull/1609

Il dubbio a questo punto è chissà quanti ce ne sono oltre a lui

[saxtro]

In pratica con Suse solo chi usa Tumbleweed è a rischio.

https://www.suse.com/c/suse-addresses-s ... on-library

[GjMan78]

Su Arch il problema era stato risolto già in mattinata a quanto vedo dai miei log.

Codice: Seleziona tutto

[2024-03-29T13:14:53+0100] [ALPM] upgraded xz (5.6.1-1 -> 5.6.1-2)

Inoltre sembra che Arch sia immune a questa specifica backdoor perché non patcha openssh con liblzma come invece fanno Debian,Suse e Fedora.

https://boehs.org/node/everything-i-kno ... z-backdoor

[Sannythebest]

Su Arch il problema era stato risolto già in mattinata a quanto vedo dai miei log.

Codice: Seleziona tutto

[2024-03-29T13:14:53+0100] [ALPM] upgraded xz (5.6.1-1 -> 5.6.1-2)

Inoltre sembra che Arch sia immune a questa specifica backdoor perché non patcha openssh con liblzma come invece fanno Debian,Suse e Fedora.

https://boehs.org/node/everything-i-kno ... z-backdoor

Si che Arch sia immune, almeno per quanto riguarda la backdoor su ssh, l'avevo letto e avevo commentato anche sotto l'articolo della prima fonte che ho messo. Poi l'autore del codice malevolo ha apportato altri commits in passato e non sappiamo che ha combinato. Vedremo.


L'autore del codice malevolo ieri (o l'altro ieri) aveva aggiunto al Security.md di xz questo:

If you discover a security vulnerability in this project please report it privately. *Do not disclose it as a public issue.* This gives us time to work with you to fix the issue before public exposure, reducing the chance that the exploit will be used before a patch is released

Traduzione: Se scopri una vulnerabilità di sicurezza in questo progetto, segnalala in privato. *Non divulgarlo come problema pubblico.* Questo ci dà il tempo di collaborare con te per risolvere il problema prima che venga reso pubblico, riducendo la possibilità che l'exploit venga utilizzato prima del rilascio di una patch

Pare che Debian stia considerando l'idea di tornare a una versione addirittura precedente alla 5.2, perché il tizio ha iniziato a metterci mano da quel punto

[woddy68]

In pratica con Suse solo chi usa Tumbleweed è a rischio.

https://www.suse.com/c/suse-addresses-s ... on-library

Su Tumbleweed è già corretto...https://news.opensuse.org/2024/03/29/xz-backdoor/

[rai]

Su Tumbleweed è già corretto...https://news.opensuse.org/2024/03/29/xz-backdoor/

Sì ma come è già stato scritto sopra, se il proprio sistema è interessato >e< se sshd è stato esposto a internet bisogna reinstallare da zero e anche modificare tutte le credenziali che erano leggibili.

For our openSUSE Tumbleweed users where SSH is exposed to the internet we recommend installing fresh, as it’s unknown if the backdoor has been exploited. Due to the sophisticated nature of the backdoor an on-system detection of a breach is likely not possible. Also rotation of any credentials that could have been fetched from the system is highly recommended.

[woddy68]

Su Tumbleweed è già corretto...https://news.opensuse.org/2024/03/29/xz-backdoor/

Sì ma come è già stato scritto sopra, se il proprio sistema è interessato >e< se sshd è stato esposto a internet bisogna reinstallare da zero e anche modificare tutte le credenziali che erano leggibili.

For our openSUSE Tumbleweed users where SSH is exposed to the internet we recommend installing fresh, as it’s unknown if the backdoor has been exploited. Due to the sophisticated nature of the backdoor an on-system detection of a breach is likely not possible. Also rotation of any credentials that could have been fetched from the system is highly recommended.

Beh! È scritto chiaramente nel link da me postato.

[steff]

Interessante la timeline:
https://boehs.org/node/everything-i-kno ... z-backdoor

[Sargonsei]

Su Tumbleweed è già corretto...https://news.opensuse.org/2024/03/29/xz-backdoor/

Sì ma come è già stato scritto sopra, se il proprio sistema è interessato >e< se sshd è stato esposto a internet bisogna reinstallare da zero e anche modificare tutte le credenziali che erano leggibili.

For our openSUSE Tumbleweed users where SSH is exposed to the internet we recommend installing fresh, as it’s unknown if the backdoor has been exploited. Due to the sophisticated nature of the backdoor an on-system detection of a breach is likely not possible. Also rotation of any credentials that could have been fetched from the system is highly recommended.

Beh! È scritto chiaramente nel link da me postato.

ma qui
https://www.marcosbox.org/2024/03/aller ... kdoor.html
si dice che

Per gli utenti di openSUSE Tumbleweed in cui SSH è esposto a Internet, il team di openSUSE raccomanda di installare la nuova versione, poiché non è noto se la backdoor sia stata sfruttata. A causa della natura sofisticata della backdoor, è probabile che non sia possibile rilevare una violazione a livello di sistema. Inoltre, si raccomanda la rotazione di tutte le credenziali che potrebbero essere state prelevate dal sistema. Altrimenti, è sufficiente aggiornare a openSUSE Tumbleweed 20240328 o a una versione successiva e riavviare il sistema.

quindi dovrebbe bastare aggiornare a Tumbleweed 20240328... o sbaglio?

[Sannythebest]

quindi dovrebbe bastare aggiornare a Tumbleweed 20240328... o sbaglio?

Se non hai SSH non sbagli. Sempre che non scoprano che il tizio abbia fatto altri danni. Questo tizio lavorava su XZ dalla versione 5.2.5 in poi pare. Oltre ad aver apportato commits anche ad altro, tipo libarchive

In pratica con Suse solo chi usa Tumbleweed è a rischio.

https://www.suse.com/c/suse-addresses-s ... on-library

Si, se diamo per scontato che l'unica versione con codice malevolo sia la 5.6.0 e 5.6.1. Ma lo sviluppatore ha lavorato dal 2022 ad XZ, quindi sono a rischio (senza certezza) anche le versioni dalla 5.2.5 in poi (pare)

[wilecoyote]

Salve, ma la versione 5.2.5 è quella di Jammy 22.04 LTS, donde verrà aggiornata o cosa ?

Ciao

[corradoventu]

Se guardi in https://launchpad.net/ubuntu/+source/linux vedi che anche per Jammy ci sono 3 kernel in ballo ... e anche per gli altri