Update #1: Kritische Sicherheitslücke/Hintertüre in xz-utils (CVE-2024-3094)
29. März 2024
Update #1: 02. April 2024 (Umbau Warnung auf aktuelle Erkenntnisse)
Beschreibung
In den Versionen 5.6.0 und 5.6.1 der weit verbreiteten Bibliothek xz-utils wurde eine Hintertür entdeckt. xz-utils wird häufig zur Komprimierung von Softwarepaketen, Kernel-Images und initramfs-Images verwendet. Die Lücke ermöglicht es nicht authentifizierten Angreifer:innen, die sshd-Authentifizierung auf verwundbaren Systemen zu umgehen und unauthorisierten Zugriff auf das gesamte System zu erlangen.
Aktuell liegen uns keine Informationen über eine aktive Ausnutzung vor.
CVE-Nummer(n): CVE-2024-3094
CVSS Base Score: 10.0
Auswirkungen
Unauthentifizierte Angreifer:innen können durch Ausnutzen der Lücke die sshd-Authentifizierung aushebeln und vollen Zugriff auf betroffene Systeme erlangen.
Die Hintertür wird aktiviert, wenn bestimmte Bedingungen erfüllt sind:
- Das System läuft auf einer glibc-basierten Linux-Distribution oder macOS
- xz-utils bzw. liblzma ist in Version 5.6.0 oder 5.6.1 installiert
- sshd aus /usr/sbin/sshd läuft (andere Pfade evtl. auch betroffen)
- sshd ist öffentlich erreichbar
Weitere Angriffsszenarien werden noch untersucht. Eine Kompromittierung hinterlässt keine Log-Einträge.
Betroffene Systeme
Linux-Distributionen und macOS mit glibc und xz-utils 5.6.0 oder 5.6.1, insbesondere:
- Archlinux: xz-Pakete vor Version 5.6.1-2 (speziell 5.6.0-1 und 5.6.1-1)
- Debian Testing, Unstable und Experimental: Versionen 5.5.1alpha-0.1 bis 5.6.1-1
- Fedora Rawhide (Entwicklungsversion)
- Fedora 41 und eventuell Fedora 40 (je nach Zeitpunkt des Updates)
- Kali Linux: Betroffen zwischen dem 26. und 29. März 2024
- openSUSE Tumbleweed und openSUSE MicroOS: Verwundbare Versionen zwischen dem 7. und 28. März 2024 enthalten
Abhilfe
Betroffene Nutzer sollten xz-utils umgehend auf eine Version > 5.6.1 aktualisieren oder - wenn nicht verfügbar - auf eine Version < 5.6.0 downgraden. Prüfen Sie die installierte Version mit:
dpkg -s xz-utils # Debian/Ubunturpm -q xz # Red Hat/Fedora/CentOS
Wenn sshd öffentlich erreichbar ist und mit Systemd läuft, hat ein Update/Downgrade allerhöchste Priorität!
Alle anderen betroffenen Systeme sollten schnellstmöglich - am besten sofort - aktualisiert werden.
Um betroffene Systeme zu identifizieren, kann nach Prozessen gesucht werden, die sowohl libsystemd als auch liblzma geladen haben:
sudo grep -l 'libsystemd.*liblzma' /proc/*/maps | cut -d/ -f3
Informationsquelle(n):
FAQ on the xz-utils backdoor (CVE-2024-3094)
https://gist.github.com/thesamesam/9e704ef733da0b7f10c1e7b2d1815f7
Schwachstelleninformation zu CVE-2024-3094
https://access.redhat.com/security/cve/CVE-2024-3094?extIdCarryOver=true&sc_cid=701f2000001OH6fAAG
CERT.at Blog-Beitrag - Staatlich gesponserte "Entwicklung" quelloffener Software
https://cert.at/de/blog/2024/4/staatlich-gesponserte-entwicklung-quelloffener-software