probatusoft.de - individuelle Software

IT-Sicherheitswarnstufe 10 von 10

für linux-ähnliche und Linuxsysteme

Systemadministratoren sind aufgerufen, Ihre Systeme auf xz-5.6.0 und xz-5.6.1 zu überprüfen. Die release tarballs dieser Versionen der xz-utils enthalten eine Hintertür, die spezifischen Angreifern unter bestimmten Umständen volle Kontrolle über das System gewährt.


    $ xz --version

Sofortige Maßnahmen

Downgrade auf xz-utils vor Version 5.6.x
Monitoring des Systems auf ungewöhnliches Verhalten

Die Hintertür befindet sich auch im MacOs-Paketmanager Homebrew, springt aber nach gegenwärtigem Kenntnisstand nur auf deb- und rpm-basierten Systemen an. Auch Windows verwendet die xz-utils seit Version 5.0. Beachten Sie bitte die Aktualisierungshinweise des Anbieters Ihres Betriebssystems.

Aktuelle Hinweise des Entwicklers der xz-utils, Lasse Collin, finden Sie auf seiner Homepage.

Hinweis für Kunden:

Die von probatusoft.de verwendeten Systeme sind von dieser Sicherheitslücke ausdrücklich nicht betroffen.
Von probatusoft.de entwickelte und/oder verwendete Software ist und war zu keinem Zeitpunkt durch die aktuellen Ereignisse in Mitleidenschaft gezogen.

Das Vorgehen der sich hinter dem Nick Jia Tan bzw. JiaT75 verbergenden Person(en) lässt auf sehr planvolles, sehr professionelles, über lange Zeit schrittweise und sehr geschickt verschleiertes Handeln in böswilliger Absicht schließen.

Aufgrund der Tragweite dieses Angriffs, wenn es xz-5.6.x unentdeckt in eine stabile Debian-Version geschafft hätte, ist für alle Systemadministratoren erhöhte Aufmerksamkeit geboten. Weder ist bislang bekannt, wer hinter Jia Tan steckt (ein einsamer Hacker, ein Geheimdienst, eine National Security Agency irgend eines Staates, ... ?), noch lässt sich gegenwärtig komplett ausschließen, dass zeitgleich weitere Angriffe geplant oder ausgeführt wurden. Internationale Ermittlungen sind eingeleitet.

Sprechen die aktuellen Ereignisse gegen Open-Source-Software?

Ausdrücklich NEIN!

Das Gegenteil ist der Fall. Dem Softwareentwickler Andreas Freund ist die Sicherheitslücke während des Testings einer experimentellen Debian-Version aufgefallen. Die Abläufe, die zum Einschleusen der Hintertür geführt haben sowie die Arbeitsweise des bösartigen Codes, sind gerade deshalb sehr gut dokumentiert, weil es sich um Open-Source-Software handelt. Aus den Nachforschungen zum Vorgehen des/der Angreifer/s lassen sich Schlüsse zur noch besseren Absicherung der Open-Source-Gemeinde ableiten.

Stand: April 2024