Die xz-Attacke

Die beste mir bisher bekannte deutschsprachige Darstellung und Zusammenfassung der umfangreichen social-engineering-Begleitung der xz-Attacke

fand sich übrigens gestern in der Tageszeitung Der Standard.

Eine Liste der betroffenen Distributionen findet sich hier, bisher nur deren Test- und Entwicklungsversionen, mit der dringenden Aufforderung, die als kompromittiert zu betrachten, nicht mehr einzuschalten und komplett neu aufzusetzen.

Im CVE-2024-3094 steht noch nicht viel, aber die Links auf die verschiedenen Distributionsmeldungen.

Interessant auch, die Ur-Mitteilung des Entdeckers der Backdoor zu lesen, warum eigentlich ein so wichtiges und kritisches Stück Software wie der ssh-Daemon eine – auch ohne Kompromittierung – schon als schrottig verufene Bibliothek wie liblzma einbindet:

openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma.

Dauerstreitthema systemd.