homebrew: xz Utils mglw. mit Backdoor verseucht.

[MrChad]

Nach entsprechenden Berichten könnte das beliebte homebrew-Tool z.Zt. mit einer Backdoor verseucht sein.

"Several people, including two Ars readers, reported that the multiple apps included in the HomeBrew package manager for macOS rely on the backdoored 5.6.1 version of xz Utils."

https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/

 

[rayjoe]

Danke für den Hinweis!

Siehe auch: https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html

 

[rayjoe]

HomeBrew hat wohl schon gestern Abend reagiert und xz von Version 5.6.1 auf die Version 5.4.6 zurückgesetzt, sie schreiben dazu

This is intentional as 5.6.x is untrusted: https://www.bleepingcomputer.com/ne...kdoor-in-xz-tools-used-by-most-linux-distros/ (see https://www.openwall.com/lists/oss-security/2024/03/29/4 for technical details)

To be clear: we don't believe Homebrew's builds were compromised (the backdoor only applied to deb and rpm builds) but 5.6.x is being treated as no longer trustworthy and as a precaution we are forcing downgrades to 5.4.6.

xz --version auf dem Terminal zeigt an, was installiert ist, bei mir zunächst:

% xz --version
xz (XZ Utils) 5.6.1
liblzma 5.6.1

Nach

brew update

sowie einem

brew upgrade

nun die unbedenkliche Version:

% xz --version
xz (XZ Utils) 5.4.6
liblzma 5.4.6

Am Schluss noch mit

brew cleanup xz --prune=0

aufräumen!

siehe dazu auch: https://github.com/orgs/Homebrew/discussions/5243

 

[OmarDLittle]

Praktischerweise bin ich ein fauler Hund und noch auf 5.4.5. Bei Linux-basierten Systemen ist die Backdoor-Version glücklicherweise zu neu um es in die Stable-Repositories geschafft zu haben. Zusätzlich kommt keins der Systeme direkt ins Internet, ohne Authentifizierung am Proxy der Firewall-Lösung ist nicht einmal eine DNS-Auflösung externer Domains möglich.

 

[mh2019]

Sorry,das ist leider falsch interpretiert. homebrew hat kein Backddor. Homebrew ist ein Paketmanager. Pakete (xz bzw. liblzma), welche man mit Hilfe von homebrew runterladen und installieren konnte, hatten diese Hintertür. Zumal die Versionen dieser Pakete, die man via homebrew bekommt, wohl eh nicht betroffen sind.

Die Überschrift dieses Threads ist also grob irreführend

 

[rayjoe]

ähm, steht doch alles im Thread?

 

[Froyo1952]

So ganz stimmt das bisher Gesagte zu Homebrew wohl nicht:

https://www.heise.de/news/xz-Attack....red.mac-and-i.mac-and-i.atom.beitrag.beitrag

 

[rayjoe]

So ganz stimmt das bisher Gesagte zu Homebrew wohl nicht:

Homebrew ist vorsorglich auf eine ältere xz Version gegangen. Was stimmt daran nicht?

 

[mh2019]

Homebrew ist vorsorglich auf eine ältere xz Version gegangen. Was stimmt daran nicht?

Genauer gesagt, liefert Homebrew nun eine ältere Version, wenn man es benutzt, um xz zu installieren. Homebrew selber war und ist wohl nicht betroffen, nach allem, was man bisher weiss.

 

[rayjoe]

Ja, eh klar.

To be clear: we don't believe Homebrew's builds were compromised (the backdoor only applied to deb and rpm builds) but 5.6.x is being treated as no longer trustworthy and as a precaution we are forcing downgrades to 5.4.6.

 

[lisanet]

ein Hinweis dazu:

es geht nicht im das Tool "xz" alleine, sondern um die Library "liblzma". Die wird selbstverstädnlich von "xz" benutzt, aber eben auch von anderer Software. Und das macht die Sache deutlich krititscher.

In nahezu allen Routern basiert das dortige System auf Linux und damit kann dort möglicherweise auch liblzma vorhanden sein. Viele Router bieten auch ssh an. Somit ist gerade da ein potentielles Angriffstor geöffnet.

Auch Raspis mit omv, PiHole und Konsorten sind betroffen, da die alle auf Debian basieren und damit alle die liblzma verwenden.

Homebrew ist da meines Erachtens das geringste Problem.

Diese Schwachstelle zeigt meines Meinung eines der größten Probleme von open source software auf: OSS wird gerne verwendet, weil es ncihts kostet, aber daran mitarbeiten und sich einbringen, darauf hat bei sehr vielen Projekten niemand Lust. Die Folge ist, das extrem viele Projekte von Einzelkämpfern betrieben werden.

Das vermeintliche "jeder kann den Source Code ja lesen" bringt da rein gar nichts, weil es nämlich jahrelang niemand tut. Da unterscheidet sich open source von closed source überhaupt nicht. Bei open source wiegen sich nur viele wegen dieses Argumentes in falscher Sicherheit. open source benötigt aber eben mehr als nur 1 Entwickler um stabil und sicher zu sein.

 

[Difool]

ein Hinweis dazu:

es geht nicht im das Tool "xz" alleine, sondern um die Library "liblzma". Die wird selbstverstädnlich von "xz" benutzt, aber eben auch von anderer Software. Und das macht die Sache deutlich krititscher.

In nahezu allen Routern basiert das dortige System auf Linux und damit kann dort möglicherweise auch liblzma vorhanden sein. Viele Router bieten auch ssh an. Somit ist gerade da ein potentielles Angriffstor geöffnet.

Siehe auch die Meldungen vom BSI:
https://www.bsi.bund.de/SiteGlobals/Forms/Suche/BSI/Sicherheitswarnungen/Sicherheitswarnungen_Formular.html?nn=129300&cl2Categories_DocType=callforbids

Hier das Dokument (TLP:CLEAR) dazu:
https://www.bsi.bund.de/SharedDocs/...24-223608-1032.pdf?__blob=publicationFile&v=5

 

[wegus]

Das vermeintliche "jeder kann den Source Code ja lesen" bringt da rein gar nichts, weil es nämlich jahrelang niemand tut. Da unterscheidet sich open source von closed source überhaupt nicht. Bei open source wiegen sich nur viele wegen dieses Argumentes in falscher Sicherheit. open source benötigt aber eben mehr als nur 1 Entwickler um stabil und sicher zu sein.

Genau das ist der Punkt, da stimme ich @lisanet voll zu! Genau das hätte auch als Antwort schon auf die ganzen Abhörskandale der NSA kommen müssen und jetzt da Angriffe staatlich koordiniert stattfinden und IT sicherheitsrelevant ist noch mehr. Das BSI oder noch besser eine europäische Institution müßte mit sehr viel Geld und qualifiziertem Personal ausgestattet werden um mindestens eine Linux Distro permanent zu zertifizieren (mir käme da Debian in den Sinn).

Der Vorteil von Open Source ist, dass man es validieren kann. Der Nachteil ist, dass es außer den Maintainern niemand tut. Genau das müßte aber geschehen um Grundsystem zu haben die eine hohe Verläßlichkeit aufweisen. Systeme mit denen man eine Infrastruktur möglichst sicher betreiben kann. Das diese Lehre nicht längst gezogen worden ist, ist eines der größten Versäumnisse seit Ms. #Neuland Kanzler war.

 

[MrChad]

Lesenswerte Zusammenfassung der Geschichte rund um die XZ-Attacke.
Ein kleines bisschen technisches Verständnis notwendig, dann aber Stoff für einen Blockbuster.

• https://www.heise.de/blog/Aktenzeichen-XZ-ungeloest-9678531.html