Dringende Sicherheitswarnung für Nutzende von Fedora Linux 40 und Fedora Rawhide

Von diesen CVE sind keine Versionen von Red Hat Enterprise Linux (RHEL) betroffen.

Update vom 30. März 2024: Wir haben festgestellt, dass Fedora Linux 40 Beta zwei betroffene Versionen von xz-Libraries enthält: xz-libs-5.6.0-1.fc40.x86_64.rpm und xz-libs-5.6.0-2.fc40.x86_64.rpm. Derzeit scheint Fedora Linux 40 nicht von dem eigentlichen Malware-Exploit betroffen zu sein. Dennoch empfehlen wir den Nutzenden von Fedora Linux 40 Beta, auf 5.4.x-Versionen zurückzusetzen.

Anmerkung der Redaktion: Dieser Beitrag wurde aktualisiert, um die betroffenen Versionen von Fedora Linux klarer zu beschreiben und zusätzliche Maßnahmen zur Risikominimierung hinzuzufügen.

Red Hat Information Risk and Security und Red Hat Product Security haben gestern erfahren, dass die neuesten Versionen der „xz“-Tools und -Libraries bösartigen Code enthalten, der offenbar unbefugten Zugriff ermöglichen soll. Dieser Code ist insbesondere in den Versionen 5.6.0 und 5.6.1 der Libraries enthalten. Nutzende von Fedora Linux 40 haben abhängig vom Zeitpunkt der Systemupdates möglicherweise Version 5.6.0 erhalten. Nutzende von Fedora Rawhide haben möglicherweise die Version 5.6.0 oder 5.6.1 erhalten. Diese Schwachstelle wurde CVE-2024-3094 zugewiesen.

BITTE BEENDEN SIE SOFORT DIE NUTZUNG JEGLICHER FEDORA RAWHIDE-INSTANZEN für geschäftliche oder private Zwecke. Fedora Rawhide wird in Kürze auf xz-5.4.x zurückgesetzt. Danach können Fedora Rawhide-Instanzen sicher neu bereitgestellt werden. Beachten Sie, dass Fedora Rawhide die Entwicklungsdistribution von Fedora Linux ist und als Grundlage für zukünftige Fedora Linux-Builds dient (in diesem Fall das noch zu veröffentlichende Fedora Linux 41).

Bis zum jetzigen Zeitpunkt wurde nicht festgestellt, dass die Fedora Linux 40-Builds betroffen sind. Wir gehen davon aus, dass das Einschleusen von bösartigem Code in diesen Builds nicht funktionierte. Zur Sicherheit sollten Nutzende von Fedora Linux 40 jedoch trotzdem ein Downgrade auf einen 5.4-Build durchführen. Ein Update, bei dem xz auf 5.4.x zurückgesetzt wird, wurde kürzlich veröffentlicht und wird für Nutzende von Fedora Linux 40 über das normale Update-System verfügbar. Nutzende können die Aktualisierung erzwingen, indem sie die Anweisungen unter https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266 befolgen.

Update vom 30. März 2024: Wir haben festgestellt, dass Fedora Linux 40 Beta zwei betroffene Versionen von xz-Libraries enthält: xz-libs-5.6.0-1.fc40.x86_64.rpm und xz-libs-5.6.0-2.fc40.x86_64.rpm. Derzeit scheint Fedora Linux 40 nicht von dem eigentlichen Malware-Exploit betroffen zu sein. Dennoch empfehlen wir den Nutzenden von Fedora Linux 40 Beta, auf 5.4.x-Versionen zurückzusetzen.

Was ist xz?

xz ist ein universelles Datenkomprimierungsformat, das in nahezu jeder Linux-Distribution vorhanden ist, sowohl in Community-Projekten als auch in kommerziellen Produktdistributionen. Im Wesentlichen lassen sich damit große Dateiformate in kleinere, besser handhabbare Größen für die gemeinsame Nutzung per Dateiübertragung komprimieren (und anschließend dekomprimieren).

Was ist der bösartige Code?

Die in den Libraries der xz-Versionen 5.6.0 und 5.6.1 eingeschleuste Malware ist obfuskiert und nur im Download-Paket vollständig enthalten. In der Git-Distribution fehlt das M4-Makro, das die Erstellung des bösartigen Codes auslöst. Die Artefakte der zweiten Stufe sind im Git-Repository für die Injektion während der Build-Zeit vorhanden, falls das bösartige M4-Makro enthalten ist.

Der resultierende bösartige Build verhindert die Authentifizierung in sshd über systemd. SSH ist ein häufig verwendetes Protokoll für die Remote-Verbindung zu Systemen, und sshd ist der Service, der den Zugriff ermöglicht. Unter geeigneten Umständen könnten Angreifende in der Lage sein, die sshd-Authentifizierung zu unterbrechen und unbefugten Fernzugriff auf das gesamte System zu erlangen.

Welche Distributionen sind von diesem bösartigen Code betroffen?

Aktuelle Untersuchungen zeigen, dass die Pakete nur in Fedora 40 und Fedora Rawhide innerhalb des Red Hat Community-Partnernetzwerks vorhanden sind.

Wir haben Berichte und Hinweise dafür, dass die Einschleusung des bösartigen Codes in xz 5.6.x Versionen, die für Debian Unstable (Sid) entwickelt wurden, erfolgreich war. Andere Distributionen können ebenfalls betroffen sein. Nutzende anderer Distributionen sollten sich an ihre Vertriebspartner wenden.

Was kann ich tun, wenn ich eine betroffene Distribution nutze?

Stellen Sie sofort die Verwendung von Fedora 40 oder Fedora Rawhide für persönliche und geschäftliche Zwecke ein, bis Sie ein Downgrade Ihrer xz-Version durchführen können. Falls Sie eine betroffene Distribution geschäftlich nutzen, empfehlen wir Ihnen, sich für die nächsten Schritte an Ihr IT-Sicherheitsteam zu wenden.

Zusätzlich hat SUSE für diejenigen, die openSUSE-Distributionen ausführen, ein Downgrade-Verfahren unter https://build.opensuse.org/request/show/1163302 veröffentlicht.