XZ-Utils-Backdoor (CVE-2024-3094)
Was ist XZ-Utils-Backdoor (CVE-2024-3094)?
XZ-Utils-Backdoor (CVE-2024-3094)Beinahe erfolgreicher Supply-Chain-Angriff von 2024, bei dem ein langjähriger Mitwirkender eine obfuskierte SSH-Hintertür in die von den meisten Linux-Distributionen ausgelieferte Upstream-Bibliothek xz/liblzma einschleuste.
Die XZ-Utils-Backdoor (CVE-2024-3094) ist eine Software-Lieferkettenkompromittierung, die am 29. März 2024 vom Microsoft-Ingenieur Andres Freund offengelegt wurde, nachdem er auf einem Debian-sid-System ungewöhnliche CPU-Last und Valgrind-Fehler in sshd bemerkt hatte. Die Analyse ergab, dass der xz/liblzma-Upstream-Maintainer 'Jia Tan' — ein Pseudonym, das fast zwei Jahre lang Vertrauen im Projekt aufgebaut hatte — obfuskierte Build-Skripte eingeschleust hatte, die beim Paketieren auf rpm- oder deb-basierten Distributionen mit der systemd-Abhängigkeitskette libsystemd → liblzma eine OpenSSH-Server-Funktion über IFUNC-Resolver ersetzten und einem Träger eines bestimmten Ed448-Privatschlüssels Remote Code Execution ermöglichten. Der Schadcode wurde mit xz-utils 5.6.0 und 5.6.1 ausgeliefert und erreichte Debian testing/unstable, Fedora 40/41 (Rawhide), openSUSE Tumbleweed, Kali und Arch, wurde aber vor den meisten stabilen Releases entdeckt. Der Vorfall hat das Verständnis von Risiken bei Ein-Maintainer-Abhängigkeiten, IFUNC-basierter Tarnung und den Grenzen des Vertrauens in langjährige Beitragende grundlegend verschoben.
● Beispiele
- 01
Andres Freund entdeckte die Hintertür, nachdem ihm aufgefallen war, dass sshd auf Debian unstable bei fehlgeschlagenen Logins rund 500 ms länger brauchte als erwartet.
- 02
Distributionen rollten xz-utils auf den 5.4.x-Zweig zurück und tauschten SSH-Hostschlüssel auf allen Systemen aus, die kurzzeitig 5.6.0 oder 5.6.1 ausgeführt hatten.
● Häufige Fragen
Was ist XZ-Utils-Backdoor (CVE-2024-3094)?
Beinahe erfolgreicher Supply-Chain-Angriff von 2024, bei dem ein langjähriger Mitwirkender eine obfuskierte SSH-Hintertür in die von den meisten Linux-Distributionen ausgelieferte Upstream-Bibliothek xz/liblzma einschleuste. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet XZ-Utils-Backdoor (CVE-2024-3094)?
Beinahe erfolgreicher Supply-Chain-Angriff von 2024, bei dem ein langjähriger Mitwirkender eine obfuskierte SSH-Hintertür in die von den meisten Linux-Distributionen ausgelieferte Upstream-Bibliothek xz/liblzma einschleuste.
Wie schützt man sich gegen XZ-Utils-Backdoor (CVE-2024-3094)?
Schutzmaßnahmen gegen XZ-Utils-Backdoor (CVE-2024-3094) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für XZ-Utils-Backdoor (CVE-2024-3094)?
Übliche alternative Bezeichnungen: CVE-2024-3094, Jia-Tan-Backdoor, liblzma-Backdoor.