Compressietool xz lijkt malware te bevatten

[loti]

Wederom een beveiligingsrisico in Linux volgens Tweakers.

https://tweakers.net/nieuws/220340/compressietool-xz-lijkt-malware-te-bevatten-linux-distros-waarschuwen.html

[Oesje]

Het betreft om Linux servers zoals de andere berichten die hier al gepost werden .

[Pjotr]

Ongelofelijk nieuws inderdaad. Zojuist gelezen. 

Gelukkig hoeven we ons als gebruikers van Ubuntu LTS of Mint geen zorgen te maken, want die bevatten een oudere versie van xz. Het betreft versies 5.5.1alpha-0.1 (gepubliceerd op 2024-02-01), tot en met 5.6.1-1.

Bij twijfel, controleer je eigen versie:

Code: [Selecteer]

xz --version
Op mijn machine (Mint 21.3, die is gebouwd op Ubuntu 22.04 LTS):

Code: [Selecteer]

pjotr@lenovo-ideapad-3-ryzen-7:~$ xz --version
xz (XZ Utils) 5.2.5
liblzma 5.2.5
Je vraagt je af hoe deze kwaadaardige programmatuur erin terecht is gekomen. In zo'n fundamenteel pakket nog wel. En wie de misdadiger is die dit op zijn geweten heeft.

[peer]

probleem is ook in debian sid (= unstable)
debian stable, debian testing en kubuntu 23.10 bevatten versie 5.4.1 en zijn dus ok.

[Pjotr]

De dader lijkt de hoofdontwikkelaar van xz te zijn. Het moet gvd niet gekker worden.

Blijkbaar was hij ook nog betrokken bij andere Linuxprojecten. Ik houd m'n hart vast bij de gedachte wat daar nog allemaal uit gaat voortkomen....

Ik hoop dat er ook strafrechtelijke vervolging gaat plaatsvinden. Dit misselijke figuur hoort achter de tralies.

[pinokkio]

hier die van mij 

xz (XZ Utils) 5.2.5
liblzma 5.2.5

[HWE64]

Bij mij in LMDE 6 Xfce

Code: [Selecteer]

henk@Clevo:~$ xz --version
xz (XZ Utils) 5.4.1
liblzma 5.4.1
henk@Clevo:~$

[ZijneBalorigheid]

Kubuntu 22.04 werkt met versie 5.2.5 en zelfs ook de meeste recente Mint met dezelfde versie.
De vraag die bij mij nu opdoemt: Is dit een voorbode van ook meer kwetsbaarheid van Linux systemen in de toekomst?

Off topic: de profielfoto's staan weer op zijn kop...

[HENDRIK43]

en deze van mij

xz (XZ Utils) 5.2.5
liblzma 5.2.5

[Ron]

In *buntu 24.04 zit 5.4.5, deze is dus uit de gevaren zone.......

[rico70]

Off topic: de profielfoto's staan weer op zijn kop...

FF je beeldscherm kantelen, dan staan ze weer goed 

[ZijneBalorigheid]

Off topic: de profielfoto's staan weer op zijn kop...

FF je beeldscherm kantelen, dan staan ze weer goed 

Ik kan op zijn kop lezen dus op zich...

[ZijneBalorigheid]

In *buntu 24.04 zit 5.4.5, deze is dus uit de gevaren zone.......

Ik stel mij zo voor dat met name KDE neon tot de risicogroep behoort. Die streven naar de nieuwe packages zo ik heb begrepen.

[HWE64]

Bij mij is het gelukkig niet het geval ( #6 ) maar stel dat je de versie 5.5.1 (dus fout) erop hebt staan. Dan moet je naar een versie van 5.4 of daar onder maar was zijn dan de verdere consequenties (distributie eraf gooien)?

[Oesje]

Bij mij is het gelukkig niet het geval ( #6 ) maar stel dat je de versie 5.5.1 (dus fout) erop hebt staan.

Nee in de versies 5.6.0 en 5.6.1

[DeBaas]

Geen systemd, geen openssh-server?, dan geen probleem met de geïnfecteerde versie.
Ubuntu/Mint, wel systemd maar (standaard) geen geïnfecteerde versie..............

[Noidem]

De vraag die bij mij nu opdoemt: Is dit een voorbode van ook meer kwetsbaarheid van Linux systemen in de toekomst?

Goeie vraag! Schoot mij ook direct te binnen. Ik heb helaas geen glazen bol 

[MKe]

De dader lijkt de hoofdontwikkelaar van xz te zijn. Het moet gvd niet gekker worden.

Blijkbaar was hij ook nog betrokken bij andere Linuxprojecten. Ik houd m'n hart vast bij de gedachte wat daar nog allemaal uit gaat voortkomen....

Ik hoop dat er ook strafrechtelijke vervolging gaat plaatsvinden. Dit misselijke figuur hoort achter de tralies.

Correctie, het was niet de hoofd ontwikkelaar van xz, Lasse Collin, maar door een persoon genaamd Jia Tan (zie github pagina https://github.com/JiaT75?tab=repositories.

[bart85]

Op arch gebruik ik versie 5.6.1-2. fout moet er alweer uit zijn

[peer]

klopt, Arch heeft de fout weggewerkt: https://archlinux.org/news/the-xz-package-has-been-backdoored/

[M_aD]

Zo zien we maar weer, ook Linux is niet veilig en betrouwbaar.

[ZijneBalorigheid]

Zo zien we maar weer, ook Linux is niet veilig en betrouwbaar.

Ik zou het eerder omschrijven als: "Ook Linux is niet onfeilbaar en onkwetsbaar". Los van de omschrijving denk ik dat we beiden het eens zijn erover dat we alert moeten blijven.

[M_aD]

Je omschrijft het beter en inderdaad, we zijn het erover eens.

[nizi]

https://www.youtube.com/watch?v=O452dFacd1c&t=502s   Interessante video over dit onderwerp.