XZ-Utils-Backdoor (CVE-2024-3094).

Beinahe erfolgreicher Supply-Chain-Angriff von 2024, bei dem ein langjähriger Mitwirkender eine obfuskierte SSH-Hintertür in die von den meisten Linux-Distributionen ausgelieferte Upstream-Bibliothek xz/liblzma einschleuste. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.

Beinahe erfolgreicher Supply-Chain-Angriff von 2024, bei dem ein langjähriger Mitwirkender eine obfuskierte SSH-Hintertür in die von den meisten Linux-Distributionen ausgelieferte Upstream-Bibliothek xz/liblzma einschleuste.

Die XZ-Utils-Backdoor (CVE-2024-3094) ist eine Software-Lieferkettenkompromittierung, die am 29. März 2024 vom Microsoft-Ingenieur Andres Freund offengelegt wurde, nachdem er auf einem Debian-sid-System ungewöhnliche CPU-Last und Valgrind-Fehler in sshd bemerkt hatte. Die Analyse ergab, dass der xz/liblzma-Upstream-Maintainer 'Jia Tan' — ein Pseudonym, das fast zwei Jahre lang Vertrauen im Projekt aufgebaut hatte — obfuskierte Build-Skripte eingeschleust hatte, die beim Paketieren auf rpm- oder deb-basierten Distributionen mit der systemd-Abhängigkeitskette libsystemd → liblzma eine OpenSSH-Server-Funktion über IFUNC-Resolver ersetzten und einem Träger eines bestimmten Ed448-Privatschlüssels Remote Code Execution ermöglichten. Der Schadcode wurde mit xz-utils 5.6.0 und 5.6.1 ausgeliefert und erreichte Debian testing/unstable, Fedora 40/41 (Rawhide), openSUSE Tumbleweed, Kali und Arch, wurde aber vor den meisten stabilen Releases entdeckt. Der Vorfall hat das Verständnis von Risiken bei Ein-Maintainer-Abhängigkeiten, IFUNC-basierter Tarnung und den Grenzen des Vertrauens in langjährige Beitragende grundlegend verschoben.

Schutzmaßnahmen gegen XZ-Utils-Backdoor (CVE-2024-3094) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Übliche alternative Bezeichnungen: CVE-2024-3094, Jia-Tan-Backdoor, liblzma-Backdoor.