WebGang/CityGang

Over antisociaal gesproken….
- Diverse nabespreking nieuws
- The antisocial network.. (variety.com)

De Linux Upstream supply chain attack: xz-utils backdoor

Na de ontdekking, die geen april-grap was, heeft onderzoek meer duidelijkheid gegeven over de xz-utils backdoor: een nieuwe medewerker aan het project nam jaren tijd om het vertrouwen te winnen, en nu dan de “backdoor” in het programma te planten en te verspreiden.

Getroffen: glibc + 5.6.0 of 5.6.1 of libzma (in xz-utils) uitgebracht in februari 2024

CVS 2024-3094
CVS-score: 10/10

We checken:
OpenSUSE 15.4: 5.2.3
OpenSUSE Tumbleweed (04/04/2024): 5.6.1 !!!
Vooral rolling release versies moeten gecheckt worden, de backdoor is snel ontdekt en niet in de “stable release” van de grote distributies terechtgekomen.

Na een update heb ik:

do 28 mrt 2024 13:00:00
Dirk Müller
- restore a bigger version number so that update works

Op https://news.opensuse.org/2024/03/29/xz-backdoor/ geven ze uitleg, waarin:

The reversed version is versioned 5.6.1.revertto5.4 and can be queried with rpm -q liblzma5.

Ze raden aan om ofwel een “clean install” te doen, ofwel te upgraden naar minstens volgende versie:

pdate to openSUSE Tumbleweed 20240328 or later and reboot the system.

Wij hebben nu:
cat /etc/os-release
NAME="openSUSE Tumbleweed"
# VERSION="20240404"


Dat is dus “later”.

Ok …

Het werd ontdekt door Andreas Freund (op mastodon), een PostgreSQL developer (die voor Microsoft werkt!)
Lees bv:

https://www.akamai.com/blog/security-research/critical-linux-backdoor-xz-utils-discovered-what-to-know

https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/