» »

Namerna ranljivost v xz

Namerna ranljivost v xz

Slo-Tech - Inženirji iz Red Hata so v petek opozorili na podtaknjeno ranljivost v knjižnicah xz 5.6.0 in 5.6.1 (izšli 24. februrja in 9. marca), ki vnaša stranska vrata v OpenSSH in systemd. Ranljivost CVE-2024-3094 je ocenjena z najvišjo stopnjo resnosti po CVSS. Ranljiva knjižnica je del Fedore 40 in 41, ki pa še nista uradno izšli - Fedora 40 izide sredi aprila. Prizadeti sta tudi distribuciji Debian Unstable in Kali Linux, večina bolj priljubljenih distribucij pa ne, ker še niso vključili omenjenih verzij xz. Uporaba razvojne verzije Fedora Rawhide je zato trenutno močno odsvetovana. Starejša verzija knjižnice xz 5.4.0 ni problematična.

V Linuxu je xz splošen format za stiskanje datotek. Zlonamerna koda je namenoma prikrita (obfuscated) in vključena le v poln paket - sproži jo makro M4. Preko stranski vrat, ki jih knjižnica uvaja, bi lahko zlonamerni akter zlomil preverjanje pristnosti v sshd in pridobil nepooblaščen oddaljeni dostop do sistema. K sreči so ranljivost odkrili, še preden se je knjižnica razširila v produkcijske distribucije. Za zdaj so prizadete le razvojne (predogledne). A Will Dormann iz podjetja Analygence dodaja, da se je to zgodilo le, ker so bili zlikovci površni. Če bi svoje delo opravili bolje, bi šla prizadeta verzija v produkcijo, kar bi bila katastrofa za varnost.

Ranljivost je 23. februarja dodal uporabik JiaT75, ki je vrsto let razvijal xz. Kot kaže, ni šlo za zlorabo njegovih prijavnih podatkov ali vdor v njegov sistem, temveč za namerno dejanje. Nato je celo izrecno spraševal, ali bo xz 5.6.1 vključena v produkcijo, češ da odpravlja hrošča v Valgrindu, in v Fedori 40.

35 komentarjev

misek ::

Inženirji iz Red Hata so v petek opozorili na podtaknjeno ranljivost v knjižnicah xz 5.6.0 in 5.6.1
A ni zadevo odkril Andres Freund iz Microsofta?

HolyFuck1 ::

misek je izjavil:

Inženirji iz Red Hata so v petek opozorili na podtaknjeno ranljivost v knjižnicah xz 5.6.0 in 5.6.1
A ni zadevo odkril Andres Freund iz Microsofta?

Yup. https://www.openwall.com/lists/oss-secu...

SHA-256 ::

HolyFuck1 je izjavil:

misek je izjavil:

Inženirji iz Red Hata so v petek opozorili na podtaknjeno ranljivost v knjižnicah xz 5.6.0 in 5.6.1
A ni zadevo odkril Andres Freund iz Microsofta?

Yup. https://www.openwall.com/lists/oss-secu...


Hvala za link.

Ali ima na tak način zakrita koda kakšno dejansko uporabo izven škodljivih namenov?

Motion ::

An offer he could not refuse?

dizel ::

Motion je izjavil:

An offer he could not refuse?


Kakor sem bral tule, bolj zgleda kot "podtaknjeni" developer:

https://www.osnews.com/story/139070/ope...
Najboljši so že padli mi pa se pogumno spotikamo naprej!

kow ::

Ocitno vprasanje je: ali je identiteta uporabnika JiaT75 znana?

WhiteAngel ::

HolyFuck1 je izjavil:

misek je izjavil:

Inženirji iz Red Hata so v petek opozorili na podtaknjeno ranljivost v knjižnicah xz 5.6.0 in 5.6.1
A ni zadevo odkril Andres Freund iz Microsofta?

Yup. https://www.openwall.com/lists/oss-secu...


Respect za tole, če ne gre za inside job. Če prav berem, je tip naključno naletel na tole, ker je ssh login rabil namesto 0,2 sekende, 0,8 sekunde.

Samael ::

Vsa ta zadeva se bere kot več letno načrtovano implementiranje backdoora kakšne agencije.
Zanimivi so mi sploh dogodki v letu 2022, kjer so domnevno na nekoliko neaktivnega developerja, ki je imel težave z zdravjem, pritiskali preko raznoraznih fejk računov, da naj doda še kakšnega maintainerja in je prišel ravno v pravem momentu ta "Jia Tan" kot dar z nebes ...

https://boehs.org/node/everything-i-kno...

Zdaj si pa človek zamisli, koliko je še tega, glede na to, da je bila ta nekoliko šlampasto implementirana zadeva odkrita čisto po naklučju s strani nekoga, ki ni niti varnostni raziskovalec. Čisto komot bi bilo to notri še leta in leta.
Samael != Samuel

Ales ::

Prizadeti sta tudi distribuciji Debian Unstable in Kali Linux, večina bolj priljubljenih distribucij pa ne, ker še niso vključili omenjenih verzij xz.


Od popularnih distribucij je bil prizadet Arch Linux.

fingering ::

Samael je izjavil:

Vsa ta zadeva se bere kot več letno načrtovano implementiranje backdoora kakšne agencije.
Zanimivi so mi sploh dogodki v letu 2022, kjer so domnevno na nekoliko neaktivnega developerja, ki je imel težave z zdravjem, pritiskali preko raznoraznih fejk računov, da naj doda še kakšnega maintainerja in je prišel ravno v pravem momentu ta "Jia Tan" kot dar z nebes ...

https://boehs.org/node/everything-i-kno...

Zdaj si pa človek zamisli, koliko je še tega, glede na to, da je bila ta nekoliko šlampasto implementirana zadeva odkrita čisto po naklučju s strani nekoga, ki ni niti varnostni raziskovalec. Čisto komot bi bilo to notri še leta in leta.


Jah skriješ se za majhnost in za vstopne točke uporabljaš malo uporabljane sisteme. Skratka, ne linux in ne windows.

Ales je izjavil:

Prizadeti sta tudi distribuciji Debian Unstable in Kali Linux, večina bolj priljubljenih distribucij pa ne, ker še niso vključili omenjenih verzij xz.


Od popularnih distribucij je bil prizadet Arch Linux.

Ubuntu je ravnokar poslal update, tako, da ne. K sreči mi na kraj pameti ne pade, da bi za strežnik uporabljal windowse ali linux (ali se slepil, da je docker varen).

Zgodovina sprememb…

cesnja ::

Ales je izjavil:

Od popularnih distribucij je bil prizadet Arch Linux.

Ne, ker je bil liblzma paket tam zgrajen na nacin, ki ni sprozil backdoora.

twom ::

Kaj pa ostali backdori, kjer razvijalci niso bili površni? Koliko je šele teh vsepovsod...
A Will Dormann iz podjetja Analygence dodaja, da se je to zgodilo le, ker so bili zlikovci površni. Če bi svoje delo opravili bolje, bi šla prizadeta verzija v produkcijo, kar bi bila katastrofa za varnost.

FireSnake ::

mtosev uporablja windows. Kupljena retail licenca za 120EUR.
Zato je to povsem ok, ker se njega to ne tiče.

/s

Odprta koda je prava stvar, se je znova pokazalo
Poglej in se nasmej: vicmaher.si

Zgodovina sprememb…

DamijanD ::

V opensourcu, se take stvari lažje odkrije, ampak tudi bistveno lažje podtakne...

thramos ::

 Mental gymnastic

Mental gymnastic

WhiteAngel ::

DamijanD je izjavil:

V opensourcu, se take stvari lažje odkrije, ampak tudi bistveno lažje podtakne...


Tole bi z lahkoto podtaknil tudi v Microsoftov zip/rdp. A misliš, da je razvojna ekipa Windows ekosistema 30 developerjev, vsi vse poznajo in vse razvijejo ground up znotraj hiše?

Pri open sourcu imaš na razpolago X osebkov, ki so tečni, zakaj je login pol sekunde počasnejši. Uporabniki Microsofta pa sprejmejo, oh well, nova verzija je, valda je pol sekunde počasnejša, čas gre naprej, rabim nov hardver, pa bo.

DamijanD ::

ah ne mislit, da pri MSju pa kar mergajo vse povprek: uporabniki sprejmejo, interno so pa 100% tudi tečni...

thramos ::

Daleč od tega, da so pri OS zadeve idealne*, ampak ko pri MS, Applu, ... potrka tričrkovna agencija, je zadeva v naslednjem updateu. Uporabniki pa brez uporabnega mehanizma detekcije backdoora.

*Pol sveta se zanaša na projekte, ki jih upravlja en izgorel razvijalec.

ender ::

https://rigor-mortis.nmrc.org/@simpleno...

This xz backdoor thing reminds me of a story I heard from friends that worked at a tech company that made cell phones. They had a great coder that worked on the project, he had put in work as a contractor for a few months, and due to the quality of his work he was hired in full time. After two months he simply stopped showing up to the office.

An investigation turned up the following interesting items. His account had accessed all files including source code to *all* cellular projects - in that he had apparently downloaded a copy of everything. He had committed a large amount of contributions to the project he was assigned to. None of his paychecks were ever cashed. A wellness check to the house he had rented was performed and the house was completely empty. Per the landlord he'd paid for 6 months rent in advance in cash. Apparently he never physically moved in. No record for him nor his social security number seemed to check out. The guy was a ghost.

I was asked about recommendations on future prevention by friends who worked there - no idea how far they got in their investigation, if backdoors were ever found or even existed, or if the Feds were ever involved. The punch line? This was probably a couple of decades ago.

This shit is real, and it has been going on for a long time.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

twom ::

ender je izjavil:

https://rigor-mortis.nmrc.org/@simpleno...

This xz backdoor thing reminds me of a story I heard from friends that worked at a tech company that made cell phones. They had a great coder that worked on the project, he had put in work as a contractor for a few months, and due to the quality of his work he was hired in full time. After two months he simply stopped showing up to the office.

An investigation turned up the following interesting items. His account had accessed all files including source code to *all* cellular projects - in that he had apparently downloaded a copy of everything. He had committed a large amount of contributions to the project he was assigned to. None of his paychecks were ever cashed. A wellness check to the house he had rented was performed and the house was completely empty. Per the landlord he'd paid for 6 months rent in advance in cash. Apparently he never physically moved in. No record for him nor his social security number seemed to check out. The guy was a ghost.

I was asked about recommendations on future prevention by friends who worked there - no idea how far they got in their investigation, if backdoors were ever found or even existed, or if the Feds were ever involved. The punch line? This was probably a couple of decades ago.

This shit is real, and it has been going on for a long time.
Tole sigurno ni res. Tričrkovne agencije niso tako neumne, da bi to delale na tako neumno očiten način...

Ales ::

cesnja je izjavil:

Ales je izjavil:

Od popularnih distribucij je bil prizadet Arch Linux.

Ne, ker je bil liblzma paket tam zgrajen na nacin, ki ni sprozil backdoora.

A, OK, to je pozitivno. Sam sem pogledal le ali je v produkcijo dobil xz 5.6.0 in 5.6.1, in to seveda je. Pri Archu je pač potrebno vzeti v zakup, da vse nove stvari pridejo hitro, praktično takoj.

Sicer pa malo čakam, da se bo še odvila analiza ranljivosti in početja teh nepridipravov, ker se zna pokazati še kaj... :P

Zgodovina sprememb…

  • spremenil: Ales ()

Mr.B ::

France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Predkambrij ::

thramos je izjavil:

 Mental gymnastic

Mental gymnastic



No, ni čist tako. Na žalost. https://cybervillains.com/@djm/11219273...

Spura ::

Predkambrij je izjavil:

thramos je izjavil:

 Mental gymnastic

Mental gymnastic



No, ni čist tako. Na žalost. https://cybervillains.com/@djm/11219273...

Zato se pa rece Security Theater, ker je vse skupaj en velik drek, in cesar je nag. Nihce ne more ustavit teh supply chain attackov.

c3p0 ::

Knjižnice, ki jih razvijajo zanesenjaki v "prostem času", malo popoldan po službi, le kličejo po takih napadih.

Žal pa so te iste knjižnice mnogokrat vključene v vse večje distribucije (linkane v nek drug servis, ki je sam po sebi lahko čisto v redu in morda celo code auditan).

Tukaj je šlo očitno za večletni projekt, ni tu zadaj nek lone hakerček, mora biti kar neka organizacija, z veliko teh projektov, oz. žezli v ognju.

Zgodovina sprememb…

  • spremenil: c3p0 ()

Ghost7 ::

c3p0 je izjavil:

Knjižnice, ki jih razvijajo zanesenjaki v "prostem času", malo popoldan po službi, le kličejo po takih napadih.

Žal pa so te iste knjižnice mnogokrat vključene v vse večje distribucije (linkane v nek drug servis, ki je sam po sebi lahko čisto v redu in morda celo code auditan).

Tukaj je šlo očitno za večletni projekt, ni tu zadaj nek lone hakerček, mora biti kar neka organizacija, z veliko teh projektov, oz. žezli v ognju.


Podpis...

Se kdo spomni zgodbe s TrueCrypt? Očitno so človeka izsledili in tričrkovniki so potrkali na vrata.
https://www.bitstamp.net/ref/OM6lA9mwoeRO5Rba/

Maxlos ::

Ghost7 je izjavil:

c3p0 je izjavil:

Knjižnice, ki jih razvijajo zanesenjaki v "prostem času", malo popoldan po službi, le kličejo po takih napadih.

Žal pa so te iste knjižnice mnogokrat vključene v vse večje distribucije (linkane v nek drug servis, ki je sam po sebi lahko čisto v redu in morda celo code auditan).

Tukaj je šlo očitno za večletni projekt, ni tu zadaj nek lone hakerček, mora biti kar neka organizacija, z veliko teh projektov, oz. žezli v ognju.


Podpis...

Se kdo spomni zgodbe s TrueCrypt? Očitno so človeka izsledili in tričrkovniki so potrkali na vrata.

Zamisli si da random generato številk danes izvajajo direktno na HW nivoju, torej znotraj AMD ali intel CPU-ja. Ali zaupaš HW opremi.
Chinese companies produce versions of AMD parts domestically, with certain parts like the random number
Barking up the wrong tree

Ghost7 ::

Maxlos je izjavil:

Ghost7 je izjavil:

c3p0 je izjavil:

Knjižnice, ki jih razvijajo zanesenjaki v "prostem času", malo popoldan po službi, le kličejo po takih napadih.

Žal pa so te iste knjižnice mnogokrat vključene v vse večje distribucije (linkane v nek drug servis, ki je sam po sebi lahko čisto v redu in morda celo code auditan).

Tukaj je šlo očitno za večletni projekt, ni tu zadaj nek lone hakerček, mora biti kar neka organizacija, z veliko teh projektov, oz. žezli v ognju.


Podpis...

Se kdo spomni zgodbe s TrueCrypt? Očitno so človeka izsledili in tričrkovniki so potrkali na vrata.

Zamisli si da random generato številk danes izvajajo direktno na HW nivoju, torej znotraj AMD ali intel CPU-ja. Ali zaupaš HW opremi.
Chinese companies produce versions of AMD parts domestically, with certain parts like the random number


Ne, že od nekdaj, že brez tričrkovnikov je bil procesorski random predvidljiv. Praktično je randomizacija številk kar precej resen računalniško - matematičen problem.
Običajna praksa je, da se uporablja kombinacija. Že True Crypt in zdaj VeraCrypt (kateri ima pomoje že lepo vgrajena zadnja vrata) uporablja pri generiranju premikanje uporabnikove miške (torej uporabnik premika miško in s tem generira "random").
https://www.bitstamp.net/ref/OM6lA9mwoeRO5Rba/

Maxlos ::

Ghost7 je izjavil:

Maxlos je izjavil:

Ghost7 je izjavil:

c3p0 je izjavil:

Knjižnice, ki jih razvijajo zanesenjaki v "prostem času", malo popoldan po službi, le kličejo po takih napadih.

Žal pa so te iste knjižnice mnogokrat vključene v vse večje distribucije (linkane v nek drug servis, ki je sam po sebi lahko čisto v redu in morda celo code auditan).

Tukaj je šlo očitno za večletni projekt, ni tu zadaj nek lone hakerček, mora biti kar neka organizacija, z veliko teh projektov, oz. žezli v ognju.


Podpis...

Se kdo spomni zgodbe s TrueCrypt? Očitno so človeka izsledili in tričrkovniki so potrkali na vrata.

Zamisli si da random generato številk danes izvajajo direktno na HW nivoju, torej znotraj AMD ali intel CPU-ja. Ali zaupaš HW opremi.
Chinese companies produce versions of AMD parts domestically, with certain parts like the random number


Ne, že od nekdaj, že brez tričrkovnikov je bil procesorski random predvidljiv. Praktično je randomizacija številk kar precej resen računalniško - matematičen problem.
Običajna praksa je, da se uporablja kombinacija. Že True Crypt in zdaj VeraCrypt (kateri ima pomoje že lepo vgrajena zadnja vrata) uporablja pri generiranju premikanje uporabnikove miške (torej uporabnik premika miško in s tem generira "random").


Ki za to uporabljajo strojno generiranje v iz CPU dela silicija ki se imenuje random generator naključnih številk..
Barking up the wrong tree

AgiZ ::

Ghost7 je izjavil:

... Že True Crypt in zdaj VeraCrypt (kateri ima pomoje že lepo vgrajena zadnja vrata) ...

Da ima stranska vrata? Lahko to trditev kako podkrepiš, da ne bo samo "čutim na vodi"?

sbawe64 ::

Fireship razloži

0:58 tip je delal postgres bench

2:36 bolj na dolgo in ne tehnično razloženo
2020 is new 1984
Corona World order

Zgodovina sprememb…

  • spremenilo: sbawe64 ()

Mr.B ::

AgiZ je izjavil:

Ghost7 je izjavil:

... Že True Crypt in zdaj VeraCrypt (kateri ima pomoje že lepo vgrajena zadnja vrata) ...

Da ima stranska vrata? Lahko to trditev kako podkrepiš, da ne bo samo "čutim na vodi"?

Če ne moreš zaščitit otroke, ne moreš imeti produkta na zahodnem tržišču . Poleg All Writs Act dodaš še warrantless surveillance act, ker morda si celo terorist...
In US v. Burns, the defendant had three hard drives, the first being a system partition which was later found to contain caches of deleted child pornography and manuals for how to use VeraCrypt, with the second being encrypted, and the third having miscellaneous music files. Even though the defendant admitted to having child pornography on his second hard drive, he refused to give the password to the authorities. Despite searching for clues of previously used passwords on the first drive, and inquiries to the FBI about any weaknesses to the VeraCrypt software that could be used to access the drive partition, and brute-forcing the partition with the alphanumeric character set as potential passwords, the partition could not be accessed. Due to the defendant confessing to having child pornography on the encrypted drive, the prosecution applied to force the defendant to give away the password under the foregone conclusion doctrine in the All Writs Act.[66]
In a search of a Californian defendant's apartment for accessing child pornography, a VeraCrypt drive that was over 900 Gigabytes was found as an external hard drive. The FBI was called to assist local law enforcement, but the FBI claimed to not have found a weakness in the VeraCrypt software. The FBI also denied having a backdoor within the VeraCrypt software. It was later found that another suspect had educated the defendant into using encryption to hide his photos and videos of child pornography. Because the defendant had admitted to having child pornography on the drive as a backup anyways and chat logs relating to the other suspect educating the defendant on how to use VeraCrypt, the foregone conclusion doctrine was used again.[67]
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Ghost7 ::

AgiZ je izjavil:

Ghost7 je izjavil:

... Že True Crypt in zdaj VeraCrypt (kateri ima pomoje že lepo vgrajena zadnja vrata) ...

Da ima stranska vrata? Lahko to trditev kako podkrepiš, da ne bo samo "čutim na vodi"?


Ali poznaš dogajanje?
Spletna stran TruCrypt je bila registrirana mislim da, na antarktiki ravno zavoljo tega, da se ni potrebno podrejat zakonom USA, Rusije, EU...
Avtor mislim, da nikoli ni izdal imena in priimka.

Vseeno so ga zelo verjetno dosegle tričrkovne agencije in mu pač dale ponudbo, ki je ni mogel zavrniti.
Ker v nekem trenutku je tip objavil na strani, da TrueCrypt ni več varen in da se umika s projekta in da močno priporoča, da se najde nek tretji produkt.

Nastala sta dva forka, en je propadel, VeraCrypt pa je še danes v uporabi. Zelo verjetno vsebuje nekaj "extra".

Sicer za nas smrtnike je še vedno super zadeva! Da boš pa kradel informacije iz NSA in jih kriptiral z VeraCrypt in kao ne bo dokaza, se pa pomoje motiš.

Seveda za žvižgače tudi sicer priporočam: https://tails.net/
https://www.bitstamp.net/ref/OM6lA9mwoeRO5Rba/

MrStein ::

Ghost7 je izjavil:


zelo verjetno
Zelo verjetno

Aha. Seveda.

Oziroma: "čutiš na vodi"
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

AgiZ ::

Ja, čuti na vodi.

Sta pa tako TrueCrypt kot tudi VeraCrypt preživela že več auditov, brez nekih resnih napak že nekaj let (napake pa so bile takoj odpravljene). Oba projekta sta tudi odprtokodna in VeraCrypt napake spotoma odpravlja.
Kot je meni znano, je VeraCrypt varen. Če pa imaš kak dokaz/info v nasprotno, pa kar prilepi vir, bomo z zanimanjem prebrali.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Namerna ranljivost v xz

Oddelek: Novice / Varnost
357964 (2614) AgiZ
»

Po pričakovanjih konec Linuxa v Münchnu (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Operacijski sistemi
383104189 (94049) jype
»

Statistika uporabe operacijskih sistemov in internetnih brskalnikov v letu 2010 (strani: 1 2 3 )

Oddelek: Novice / Omrežja / internet
11334813 (31415) Jst
»

Tri četrtine Linuxove kode napisali profesionalci (strani: 1 2 3 )

Oddelek: Novice / Ostala programska oprema
13612815 (9208) driver_x
»

Linux je počasnejši od Windows (strani: 1 2 3 4 5 6 7 )

Oddelek: Novice / Operacijski sistemi
33324171 (13786) Brane2

Več podobnih tem