Aktuelle Sicherheitslücken

issue

Rock and Stone, brother!

Registered: Feb 2003
Location: Linz
Posts: 3603

29.03.2024 - 21:12

xz upstream hat ein backdoor
https://lwn.net/ml/oss-security/202...k3.anarazel.de/

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14346

30.03.2024 - 08:44

ja halt die goschn, ****. das is brutal.

die ganze supply chain sh1ce wird noch viel viel schlimmer werden, mit jeder web-app welche dynamisch hunderte dependencies zieht.

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5027

30.03.2024 - 08:54

der typ dürfte seit einiger zeit auch maintainer im linux-kernel sein.
da werden jetzt wohl einige überstunden geschoben werden.

Philipp

Here to stay

Registered: Jul 2001
Location: Wien
Posts: 1752

30.03.2024 - 10:07

Betrifft aber nur ganz aktuelle Distributionen, wie Rolling Releases (z.B. Arch), Betas (Fedora 40) und Entwicklerversionen (Debian Testing/SID, Fedora Rawhide).

Elbart

Here to stay

Registered: Dec 2002
Location: Hobbingen
Posts: 844

30.03.2024 - 10:09

Das Github-repo wurde deaktiviert, aber die commit-links funktionieren (noch) auch mit https://git.tukaani.org/?p=xz.git;a=commit;h= vor dem Hash.

Einen Aspekt verstehe ich nicht:

Zitat
That line is *not* in the upstream source of build-to-host, nor is
build-to-host used by xz in git. However, it is present in the tarballs
released upstream, except for the "source code" links, which I think github
generates directly from the repository contents:

Wie kann nur der source tarball betroffen sein? Wird der bei dem Projekt "händisch" hinzugefügt, und die Distros/Programme haben diesen tar benutzt, statt den, den Github automatisch aus dem Repo herstellt?

EDIT:
https://github.com/google/oss-fuzz/...ment-2027602656

Zitat
This PR should potentially be reverted #10667 because it was basically done to hide the exploit which was done through ifunc resolvers lol

https://github.com/google/oss-fuzz/pull/10667

Zitat
xz: Disable ifunc to fix Issue 60259. #10667

https://bugs.chromium.org/p/oss-fuz...detail?id=60259

Zitat
Issue 60259: xz: Fuzzing build failure

Ups.

Bearbeitet von Elbart am 30.03.2024, 10:49

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 48939

30.03.2024 - 12:37

Zitat aus einem Post von semteX
die ganze supply chain sh1ce wird noch viel viel schlimmer werden, mit jeder web-app welche dynamisch hunderte dependencies zieht.

Da hilft nur Runtime Vulnerability Analytics und Runtime Application Protection.
Wenn das nur jemand in seine Observability Plattform einbauen würde?

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14346

30.03.2024 - 12:39

Zitat aus einem Post von Viper780
Da hilft nur Runtime Vulnerability Analytics und Runtime Application Protection.
Wenn das nur jemand in seine Observability Plattform einbauen würde?

ich denke das wird kaum möglich sein, wir sollten aufgeben!

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2087

30.03.2024 - 15:11

Zitat aus einem Post von Philipp
Betrifft aber nur ganz aktuelle Distributionen, wie Rolling Releases (z.B. Arch),

Arch ist afaik nicht betroffen, weil ein check, eingebaut ist, der nur aktiviert, wenn es sich um ein *bian oder RPM based distro handelt.

Philipp

Here to stay

Registered: Jul 2001
Location: Wien
Posts: 1752

30.03.2024 - 15:24

Nichtsdestotrotz hat man bei Arch Linux sogar neue Installations-images veröffentlicht.

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 48939

30.03.2024 - 17:15

Hier eine Zusammenfassung
https://blog.holz.nu/2024/03/29/0.html

Philipp

Here to stay

Registered: Jul 2001
Location: Wien
Posts: 1752

30.03.2024 - 17:40

Debian scheint die Source Pakete direkt von tukaani.org zu importieren:

Zitat
Problems while searching for a new upstream version

uscan had problems while searching for a new upstream version:
In debian/watch no matching files for watch line
https://tukaani.org/xz/xz-([\d.]*(?:beta)?)\.tar\.xz

https://tracker.debian.org/pkg/xz-utils

t3mp

I Love Gasoline

Registered: Mar 2003
Location: upstairs
Posts: 6254

30.03.2024 - 21:01

Das ist übliche Vorgehensweise. Ein automatisch generiertes GitHub Tag Archiv ist kein richtiger Release Tarball, die Hashes sind nicht garantiert stabil. Davon abgesehen ist es völlig normal, dass der Release Tarball vom Tag Archiv abweicht - da werden Translations oder Dokumentation eingespeist, git submodules (die im Tag Archiv fehlen) ergänzt, etc.

Soll nicht heißen dass nicht allzu oft das GitHub Tag naserümpfend genommen wird weil sich upstreams nicht darum kümmern.

Bearbeitet von t3mp am 30.03.2024, 21:14

DKCH

...

Registered: Aug 2002
Location: #
Posts: 3240

30.03.2024 - 23:06

Zitat aus einem Post von semteX
ich denke das wird kaum möglich sein, wir sollten aufgeben!

wenn du dich halt mal bemühen könntest…

Philipp

Here to stay

Registered: Jul 2001
Location: Wien
Posts: 1752

03.04.2024 - 14:52

Jetzt verzögert sich auch das Release der Ubuntu 24.04 LTS Beta, die eigentlich Morgen erscheinen sollte, da Canonical alle Binärpakete neu erstellt.

Zitat
Hello everyone,

Canonical never stops working to keep Ubuntu at the forefront of
safety, security, and reliability. As a result of CVE-2024-3094,
Canonical made the decision to remove and rebuild all binary packages
that had been built for Noble Numbat after the CVE-2024-3094 code was
committed to xz-utils (February 26th), on newly provisioned build
environments. This provides us with confidence that no binary in our
builds could have been affected by this emerging threat. As a result
of this, the Beta release for Ubuntu 24.04 LTS (Noble Numbat) has been
pushed to April 11, 2024 (previously April 4, 2024).

We appreciate your understanding and thank the community members who
are collaborating on our collective understanding of this emerging
issue.

On behalf of the Ubuntu Release team,

--
Łukasz 'sil2100' Zemczak

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5027

03.04.2024 - 17:46

unser örtlicher installateur hat gerade eine mail an alle im ort rausgeschossen.
mit cc, nicht bcc...

wozu brauchen wir noch sicherheitslücken :bash:

issue Rock and Stone, brother! Registered: Feb 2003 Location: Linz Posts: 3603	29.03.2024 - 21:12 xz upstream hat ein backdoor https://lwn.net/ml/oss-security/202...k3.anarazel.de/
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14346	30.03.2024 - 08:44 ja halt die goschn, ****. das is brutal. die ganze supply chain sh1ce wird noch viel viel schlimmer werden, mit jeder web-app welche dynamisch hunderte dependencies zieht.
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5027	30.03.2024 - 08:54 der typ dürfte seit einiger zeit auch maintainer im linux-kernel sein. da werden jetzt wohl einige überstunden geschoben werden.
Philipp Here to stay Registered: Jul 2001 Location: Wien Posts: 1752	30.03.2024 - 10:07 Betrifft aber nur ganz aktuelle Distributionen, wie Rolling Releases (z.B. Arch), Betas (Fedora 40) und Entwicklerversionen (Debian Testing/SID, Fedora Rawhide).
Elbart Here to stay Registered: Dec 2002 Location: Hobbingen Posts: 844	30.03.2024 - 10:09 Das Github-repo wurde deaktiviert, aber die commit-links funktionieren (noch) auch mit https://git.tukaani.org/?p=xz.git;a=commit;h= vor dem Hash. Einen Aspekt verstehe ich nicht: Zitat That line is not in the upstream source of build-to-host, nor is build-to-host used by xz in git. However, it is present in the tarballs released upstream, except for the "source code" links, which I think github generates directly from the repository contents: Wie kann nur der source tarball betroffen sein? Wird der bei dem Projekt "händisch" hinzugefügt, und die Distros/Programme haben diesen tar benutzt, statt den, den Github automatisch aus dem Repo herstellt? EDIT: https://github.com/google/oss-fuzz/...ment-2027602656 Zitat This PR should potentially be reverted #10667 because it was basically done to hide the exploit which was done through ifunc resolvers lol https://github.com/google/oss-fuzz/pull/10667 Zitat xz: Disable ifunc to fix Issue 60259. #10667 https://bugs.chromium.org/p/oss-fuz...detail?id=60259 Zitat Issue 60259: xz: Fuzzing build failure Ups. Bearbeitet von Elbart am 30.03.2024, 10:49
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 48939	30.03.2024 - 12:37 Zitat aus einem Post von semteX die ganze supply chain sh1ce wird noch viel viel schlimmer werden, mit jeder web-app welche dynamisch hunderte dependencies zieht. Da hilft nur Runtime Vulnerability Analytics und Runtime Application Protection. Wenn das nur jemand in seine Observability Plattform einbauen würde?
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14346	30.03.2024 - 12:39 Zitat aus einem Post von Viper780 Da hilft nur Runtime Vulnerability Analytics und Runtime Application Protection. Wenn das nur jemand in seine Observability Plattform einbauen würde? ich denke das wird kaum möglich sein, wir sollten aufgeben!
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2087	30.03.2024 - 15:11 Zitat aus einem Post von Philipp Betrifft aber nur ganz aktuelle Distributionen, wie Rolling Releases (z.B. Arch), Arch ist afaik nicht betroffen, weil ein check, eingebaut ist, der nur aktiviert, wenn es sich um ein *bian oder RPM based distro handelt.
Philipp Here to stay Registered: Jul 2001 Location: Wien Posts: 1752	30.03.2024 - 15:24 Nichtsdestotrotz hat man bei Arch Linux sogar neue Installations-images veröffentlicht.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 48939	30.03.2024 - 17:15 Hier eine Zusammenfassung https://blog.holz.nu/2024/03/29/0.html
Philipp Here to stay Registered: Jul 2001 Location: Wien Posts: 1752	30.03.2024 - 17:40 Debian scheint die Source Pakete direkt von tukaani.org zu importieren: Zitat Problems while searching for a new upstream version uscan had problems while searching for a new upstream version: In debian/watch no matching files for watch line https://tukaani.org/xz/xz-([\d.]*(?:beta)?)\.tar\.xz https://tracker.debian.org/pkg/xz-utils
t3mp I Love Gasoline Registered: Mar 2003 Location: upstairs Posts: 6254	30.03.2024 - 21:01 Das ist übliche Vorgehensweise. Ein automatisch generiertes GitHub Tag Archiv ist kein richtiger Release Tarball, die Hashes sind nicht garantiert stabil. Davon abgesehen ist es völlig normal, dass der Release Tarball vom Tag Archiv abweicht - da werden Translations oder Dokumentation eingespeist, git submodules (die im Tag Archiv fehlen) ergänzt, etc. Soll nicht heißen dass nicht allzu oft das GitHub Tag naserümpfend genommen wird weil sich upstreams nicht darum kümmern. Bearbeitet von t3mp am 30.03.2024, 21:14
DKCH ... Registered: Aug 2002 Location: # Posts: 3240	30.03.2024 - 23:06 Zitat aus einem Post von semteX ich denke das wird kaum möglich sein, wir sollten aufgeben! wenn du dich halt mal bemühen könntest…
Philipp Here to stay Registered: Jul 2001 Location: Wien Posts: 1752	03.04.2024 - 14:52 Jetzt verzögert sich auch das Release der Ubuntu 24.04 LTS Beta, die eigentlich Morgen erscheinen sollte, da Canonical alle Binärpakete neu erstellt. Zitat Hello everyone, Canonical never stops working to keep Ubuntu at the forefront of safety, security, and reliability. As a result of CVE-2024-3094, Canonical made the decision to remove and rebuild all binary packages that had been built for Noble Numbat after the CVE-2024-3094 code was committed to xz-utils (February 26th), on newly provisioned build environments. This provides us with confidence that no binary in our builds could have been affected by this emerging threat. As a result of this, the Beta release for Ubuntu 24.04 LTS (Noble Numbat) has been pushed to April 11, 2024 (previously April 4, 2024). We appreciate your understanding and thank the community members who are collaborating on our collective understanding of this emerging issue. On behalf of the Ubuntu Release team, -- Łukasz 'sil2100' Zemczak
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5027	03.04.2024 - 17:46 unser örtlicher installateur hat gerade eine mail an alle im ort rausgeschossen. mit cc, nicht bcc... wozu brauchen wir noch sicherheitslücken

Aktuelle Sicherheitslücken

Forum Index > Software > Applications, Apps & Drivers

issue

semteX

smashIt

Philipp

Elbart

Viper780

semteX

Rogaahl

Philipp

Viper780

Philipp

t3mp

DKCH

Philipp

smashIt