Thought Leadership
Red Hat hat am Freitag eine dringende Warnung bezüglich einer gravierenden Sicherheitslücke in XZ Utils herausgeben. Dabei handelt es sich um eine weit verbreitete Sammlung von Datenkompressionswerkzeugen.
Das Unternehmen hat eindringlich darauf hingewiesen, dass bestimmte Versionen dieser Software durch bösartigen Code kompromittiert wurden. Dieses Sicherheitsrisiko betrifft insbesondere Nutzer und Entwickler, die auf die Fedora Linux-Distribution setzen.
Im Zentrum des Problems steht ein bösartiger Code, der in den Versionen 5.6.0 und 5.6.1 von XZ Utils versteckt wurde. Diese Software ist für ihre Fähigkeit bekannt, große Dateiformate effizient zu komprimieren und findet breite Anwendung in zahlreichen Linux-Distributionen – sowohl in Community-Projekten als auch in kommerziellen Produkten. Red Hat hat die Bedrohung mit der Kennung CVE-2024-3094 als kritisch eingestuft. Sie ermöglicht es Cyberkriminellen, unter bestimmten Umständen vollständigen Zugriff auf betroffene Systeme zu erlangen.
Der schädliche Code sei so konzipiert, dass er in den Prozess des SSH-Daemons (Secure Shell) über systemd eingreift und es einem Angreifer ermöglichen könnte, die Authentifizierung von SSHD zu durchbrechen und unautorisierten Fernzugriff auf das System zu erlangen.
Andres Freund, ein PostgreSQL-Entwickler bei Microsoft, entdeckte die Backdoor. Er bemerkte in den letzten Wochen einige seltsame Symptome im Zusammenhang mit der liblzma-Bibliothek (Teil des xz-Pakets) in Debian sid-Installationen, wie lange Wartezeiten bei SSH-Logins und Valgrind-Fehler.
Fedora im Fadenkreuz
Besonders alarmierend ist, dass die betroffenen Pakete in Fedora 41 und Fedora Rawhide vorhanden sind, zwei Ausgaben innerhalb des Red Hat-Ökosystems. Fedora Linux 40-Anwender könnten ebenfalls betroffen sein, je nachdem, wann sie ihr System aktualisiert haben. Red Hat hat rasch reagiert und angekündigt, Fedora Rawhide auf die sichereren XZ-Versionen 5.4.x zurückzusetzen.
Weitere Linux-Distributionen betroffen
Die Bedrohung beschränkt sich nicht nur auf Fedora. Berichte deuten darauf hin, dass auch Debian-unstable (Sid) Versionen des kompromittierten XZ Utils enthalten. Andere Linux-Distributionen könnten ebenfalls betroffen sein. Die Entwickler hinter Debian haben bereits bestätigt, dass stabile Versionen von Debian nicht betroffen sind, warnen jedoch Nutzer von Debian Testing und Unstable vor den kompromittierten Paketen.
BSI: Nutzung von Fedora 41 und Fedora Rawhide sofort stoppen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich wenig überraschend zur Problematik geäußert. Details zur Ausnutzung sowie ein Proof-of-Concept seien bisher nicht bekannt. “Durch den beinahe auf allen Linux-Servern eingesetzten SSH-Daemon und die in den letzten Jahren zunehmend eingesetzten systemd-Dienst, sind potentiell sehr viele Server im Internet von der Lücke betroffen”, schreibt die Behörde. “Allerdings dürften noch nicht viele Distributionen auf die relativ neuen und verwundbaren xz Versionen aktualisiert haben. Genaue Informationen, wie es zur Kompromittierung und Bereitstellung manipulierter Versionen kommen konnte, sind bisher nicht öffentlich bekannt bzw. bestätigt.”
IT-Sicherheitsverantwortliche sollten laut BSI die Nutzung von Fedora 41 und Fedora Rawhide unverzüglich stoppen. xz selbst sollte auf eine ältere, stabile Version wie 5.4.6 zurückgesetzt werden. SUSE hat ein Downgerade-Verfahren veröffentlicht. Auch bei Verwendung anderer Distributionen werde empfohlen, das Upgrade auf die xz Versionen 5.6.x nicht vorzunehmen bzw. wieder auf die sicheren Versionen zurückzugehen.
