PILNE! Backdoor w Fedora 41/Rawhide oraz innych dystrybucjach linux

W wersjach 5.6.0 - 5.6.1 pakietu xz odkryto backdoor, który umożliwiał zdalny dostęp do ssh, każdy kto ma zainstalowaną powyższą wersję powinien natychmiastowo wykonać aktualizacje/downgrade lub stosować się do zaleceń distro. Problem występuje również w rolling release distro tj. Arch linux

WakcynatorMilosci z dodany: 29.03.2024, 21:05:11

281
Odpowiedz

Komentarze (281)

najlepsze

bialy100k

29.03.2024, 22:18:33 via Wykop

Pierwszy raz widzę na Wykopie wpis "PILNE" mający sens :)

Gandalf_bialy

29.03.2024, 22:33:38 via Wykop

Pierwszy raz widzę na Wykopie wpis "PILNE" mający sens :)

@bialy100k: Od bardzo dawna nie używam Fedory. Ale się zainteresowałem i ...

PILNE! Backdoor w Fedora 41/Rawhide oraz innych dystrybucjach

istp

30.03.2024, 00:08:06 via Android

@Gandalf_bialy wersje beta przyszłych wydań. Na mobilnej wersji strony mam suwak który pokazuje wersję beta.

slapdash

30.03.2024, 01:45:08 via Wykop

Uff, na szczęście użytkownicy beta wersji dystrybucji siódmej w rankingu Distrowatch zostali w porę powiadomieni. Obaj.

lukenzi

30.03.2024, 06:29:45 via Wykop

@slapdash: zabawne ( ͡° ͜ʖ ͡°) ale ogólnie ciekawa sytuacja, taki backdoor wrzucony na przypale

WakcynatorMilosci

30.03.2024, 07:01:18 via Wykop

@slapdash: wcale nie, w Archu ta paczka była prawdopodobnie od początku marca, sam ją miałem na pc ;( Na pocieszenie prawdopodobnie backdoor nie był aktywny bo script build był stargetowany pod paczki .rpm, i dodatkowo openssh w archu nie używa liblzma

jan-kowalski-507464

30.03.2024, 03:58:04 via Wykop

Ponoć gość który wrzucił tego backdoora ma historię 750 commitów do xz... ciekawe co jeszcze tam wyjdzie.

uesugi2

30.03.2024, 07:21:02 via Wykop

@jan-kowalski-507464:

A.....E

konto usunięte 30.03.2024, 07:25:55 via Wykop

@jan-kowalski-507464: @uesugi2 chiński rządowy hackier?

jegertilbake

30.03.2024, 00:42:41 via Wykop

To bedzie rok windowsa

O.....e

konto usunięte 29.03.2024, 21:29:37 via Wykop

O.....e — **źródło:** 051149412e1256376470444ef32118342fbbd0
Pobierz

nunczako

30.03.2024, 06:57:26 via Wykop

@Ostrzegam_Was_Nie_Dajcie_Sie:

RAWHIDE

walenty-merkel

30.03.2024, 22:24:25 via Wykop

-1

@Ostrzegam_Was_Nie_Dajcie_Sie: To nie jest fedora, to trilby zajeżdżające pork-pie-hatem.

@nunczako: To są fedory.

jednorazowy

30.03.2024, 06:29:24 via Wykop

We have reports and evidence of the injections successfully building in xz 5.6.x versions built for Debian unstable (Sid)

Także jeżeli chodzi o wersje Debiana i podatności:
12.0 - wersja stabilna - niepodatna
13.0 - wersja testowa - niepodatna
SID - wersja niestabilna, eksperymentalna, "poligon doświadczalny" - podatna

Hirunkan

30.03.2024, 07:21:46 via Wykop

@jednorazowy: Nic dziwnego że nowa podatność w stabilnych wydaniach Debiana nie występuje, bo wychodzą raz na 10 lat ( ͡° ͜ʖ ͡°)

T_S_

30.03.2024, 14:48:37 via Wykop

@Hirunkan: co więcej to oni wykrywają takie wpadki, jak w tym przypadku.

cotozazycie

30.03.2024, 06:41:05 via Wykop

To będzie rok windowsa

defoxe

30.03.2024, 13:39:17 via Wykop

@cotozazycie: w Windowsie nie wiesz co masz i nigdy się nie dowiesz, bo źródła brak.

ofcaah

31.03.2024, 01:56:42 via Wykop

-1

przecież nie będzie ich czytał i analizował

@ly000: jak można wejść w znalezisko o dokładnie czytaniu i analizowaniu źródeł, a następnie p-----------ć taką auto-denuncjację w zakresie własnych zdolności kognitywnych?

nga_plz

30.03.2024, 08:23:45 via Wykop

Ehh wystarczy zapuścić update i wszystkie distro zapewne same ściągną starszą bezpieczną wersję.
Ale to pokazuje jak inaczej podchodzi się do tego w linux niż w win. Pamiętam parę lat temu jak okazało się że jakaś usługa win miała poważną lukę bezpieczeństwa i M$ miał to w dupie i o niczym nie informował a jak whistle blower się wkurzył i dał info do sieci to M$ zamiast załatać usługę to ją wyłączył

eppo

30.03.2024, 09:41:37 via Wykop

@nga_plz: Nikt na codzień nie używa Fedora 41/Rawhide. Bieżąca jest 39 a 40 dopiero ma wyjść, te dotknięte to są developerskie, dopiero opracowywane na przyszłość wersje.

nga_plz

30.03.2024, 10:25:29 via Wykop

@eppo: no ale co niektórzy używaja innych distro które miały najnowsze xz :)
@v01dtec: gdyby kod nie był otwarty to nikt by się o tym backdorze nie dowiedział zapewne a tak został zauważony.

nga_plz - @eppo: no ale co niektórzy używaja innych distro które miały najnowsze xz :... — **źródło:** xz_utils
Pobierz

BArtus

30.03.2024, 07:02:34 via Wypiek

Tyle ludzi się pcha, że repo na GH jest niedostępne 🥲
Analiza do poczytania: https://www.openwall.com/lists/oss-security/2024/03/29/4
Ogólnie profeska, OP nawet kilka commitów patchujących bugi w exploicie puścił; zanim ktoś to wykrył - po analizie czasu logowania do zdalnej powłoki.