Zusammenfassung:

• Die Backdoor in xz wurde absichtlich hinzugefügt und führte zu Performanceproblemen.
• Anonyme Accounts drängten bei Debian auf die Annahme des Updates mit der Backdoor.
• Der Backdoor-Autor hat die Sicherheitsrichtlinien des Projekts geändert und OSS-Fuzz deaktiviert.
• Es stellt sich die Frage nach rechtlichen Konsequenzen für den Backdoor-Autor.

Details:

• Die Backdoor wurde beim Bauen der Tarball hinzugefügt.
• Der Backdoor-Autor hat eine Notiz auf der Projektseite hinterlassen, die darauf hinweist, dass die automatisch generierten Archive ignoriert werden sollten.
• Die Sicherheitsrichtlinien des Projekts wurden vereinfacht und die bevorzugte Kontaktmethode für Sicherheitshinweise ist nun E-Mail.
• Der Backdoor-Autor hat OSS-Fuzz deaktiviert, um die Erkennung der Backdoor zu verhindern.

Diskussion:

• Es ist unklar, ob der Backdoor-Autor rechtliche Konsequenzen zu befürchten hat.
• Es ist wichtig, dass solche Vorfälle Konsequenzen haben, um andere Maintainer davon abzuhalten, ähnliche Taten zu begehen.
• Weitere Details zu dem Vorfall werden in den Kommentaren auf Hacker News gesammelt.

Verweis:

• https://wasserpuncher.wordpress.com/2024/03/29/sicherheitslucke-in-upstream-xz-liblzma-fuhrt-zu-kompromittierung-von-ssh-servern/

Empfehlungen:

• Aktualisieren Sie Ihre Systeme auf die neueste Version von xz.
• Überwachen Sie Ihre SSH-Server auf verdächtiges Verhalten.
• Informieren Sie sich über die neuesten Entwicklungen in diesem Fall.