In einem kürzlich veröffentlichten Beitrag auf der oss-security-Mailingliste wurde eine schwerwiegende Sicherheitslücke in der xz-Bibliothek, genauer gesagt in der liblzma-Komponente, offenbart. Diese Sicherheitslücke könnte dazu führen, dass SSH-Server kompromittiert werden. Andres Freund, der Entdecker der Lücke, teilte seine Erkenntnisse mit der Gemeinschaft und erläuterte die Ursachen und potenziellen Auswirkungen dieser Schwachstelle.

Entdeckung der Sicherheitslücke

Freund bemerkte ungewöhnliche Symptome in Bezug auf liblzma auf Debian sid-Installationen in den letzten Wochen. Zu diesen Symptomen gehörten eine starke CPU-Auslastung bei SSH-Anmeldungen und Valgrind-Fehler. Nach einer gründlichen Untersuchung stellte er fest, dass die Ursache der Sicherheitslücke nicht in den Debian-Paketen lag, sondern im Upstream xz-Repository.

Kompromittierte Release-Tarballs

Die Sicherheitslücke war teilweise in den verteilten Tarballs enthalten. Ein Teil des Backdoors war in den Tarballs enthalten, jedoch nicht im Upstream-Quellcode. Dies führte dazu, dass das Backdoor-Skript bei der Konfiguration des xz-Builds ausgeführt wurde.

Kompromittiertes Repository

Ein weiterer Teil des Backdoors war im Repository selbst enthalten, insbesondere in den Dateien bad-3-corrupt_lzma2.xz und good-large_compressed.lzma. Diese Dateien wurden im Repository unter obskuren Namen und in verschleierter Form hinzugefügt.

Auswirkungen auf SSH-Server

Die Sicherheitslücke kann dazu führen, dass SSH-Anmeldungen deutlich langsamer werden. Dies ist auf die Ausführung des Backdoor-Skripts zurückzuführen, das bestimmte Bedingungen überprüft, bevor es aktiv wird. Insbesondere Anmeldungen über SSH können betroffen sein, da libsystemd von SSH abhängt und auch von liblzma verwendet wird.

Maßnahmen und Empfehlungen

Die Entdeckung dieser Sicherheitslücke verdeutlicht die Bedeutung von regelmäßigen Sicherheitsüberprüfungen und Audits bei der Verwendung von Open-Source-Software. Benutzer von xz und liblzma sollten dringend auf die neuesten Updates achten und sicherstellen, dass ihre Systeme gepatcht sind.

Für diejenigen, die von dieser Sicherheitslücke betroffen sind, wird dringend empfohlen, ihre SSH-Server zu überwachen und nach verdächtigem Verhalten zu suchen. Darüber hinaus sollten sie sicherstellen, dass ihre Systeme so schnell wie möglich auf gepatchte Versionen aktualisiert werden.

Fazit

Die Sicherheitslücke in upstream xz/liblzma stellt eine ernsthafte Bedrohung für SSH-Server dar und erfordert eine schnelle Reaktion von Entwicklern und Systemadministratoren. Durch eine Kombination aus sicherheitsorientierter Entwicklung und proaktiver Überwachung können zukünftige Sicherheitsrisiken minimiert werden.

Quellen:

https://lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de

https://www.openwall.com/lists/oss-security/2024/03/29/4