home.social

#liblzma — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #liblzma, aggregated by home.social.

  1. @3v1n0 @novaTopFlex

    What code did they use instead?

    I know of two fairly simple implementations of the notify protocol client, which have been around for years. I'm interested in knowing whether it was either of those, a third one, or just a quick nonce implementation.

    #systemd #liblzma #xz #Debian

    jdebp.uk/FGA/unix-daemon-readi

  2. @jrt @ph0lk3r @hisolutions @HonkHase

    Vielen Dank für den Aufschrieb. Ich hoffe, dass jemand aus dieser Vorlage einen Krimi macht.

    Hättet ihr Lust, das als szenische Lesung oder (Socken-)Puppentheater beim #38c3 aufzuführen?

    #CVE20243094 #xz #liblzma #Hintertür

  3. Happy to see rubygems.org update blog.rubygems.org/2024/03/31/r that they have done an internal audit not just of the software used to run RubyGems.org itself, but also every gem that has ever been published.
    RubyGems.org is not vulnerable to this issue and no gem currently published on RubyGems.org contains the vulnerable liblzma library.

  4. also ich muss zugeben, ich bin echt fan von der art und weise wie #liblzma / #xz / #xzutils gehackt wurde
    den exploit nicht in das eigentliche programm sondern in die tests zu programmieren ist echt genial

  5. Me tiene loco que la backdoor en la DLL #liblzma de #xzutils la descubriera un pavo porque al conectarse por SSH la conexión tardaba un cuarto de segundo más de lo habitual. I mean, quién se fija y se da cuenta de algo así, y cómo lo relaciona con una vulnerabilidad en #xz. Es de locos, me sigue dejando perplejo.

    Parece bastante claro que el autor es alguna agencia de inteligencia por la planificación, el nivel y los recursos. Cuentas falsas contribuyendo con código en Github durante años y ganándose reputación como contributors y la confianza del creador de XZ, y con un grado de conocimiento técnico a bajo nivel al alcance de pocos. Una verdadera operación encubierta sostenida en el tiempo, con una duración de años, para instalar una puerta trasera en equipos a nivel planetario.

    Viendo las características poco creíbles de la cuenta falsa principal, aparentemente china, yo me decanto por los servicios secretos rusos o estadounidenses, pero es mera especulación.

    #ciberseguridad

  6. Now I have to wonder if this bug report I did ~1 year ago could have already lead to discovering part of the attack. The linked binary is liblzma5.

    #security #xz #liblzma #liblzma5
    github.com/golang/go/issues/59

  7. um so zeugs wie bei #liblzma / #xz zu verhindern muss #opensource software die so tief in der supplychain verwoben ist staatlich finanziert werden bzw. proprietäre/kommerzielle software die diese libs und tools nutzen muss einen teil ihrer einnahmen zur finanzierung abliefern, die dependency lösen oder eine busse bezahlen

  8. Oh, look, the #OpenSSF is placing the #xz #xzutils problem on the sole #liblzma maintainer.

    Instead of "remaining vigilant" they could help directing more resources to open source projects. None of this is to be seen in the article.

    openssf.org/blog/2024/03/30/xz

  9. Backdoors (engl. für “Hintertür”) in Software sind geheime Zugänge, die von Entwicklern absichtlich eingebaut werden. Sie dienen dazu, auf ein System zuzugreifen, unter der Umgehung der üblichen Sicherheitsmaßnahmen. Beispielsweise um ein System per Fernwartung zu steuern.

    Diese Hintertüren können aber natürlich auch von Angreifern ausgenutzt werden, um unbefugten Zugriff auf das System und seine Daten zu erlangen.

    Aktuell gibt es ein gutes und sehr gefährliches Beispiel für eine Backdoor. Es handelt sich dabei scheinbar um einen lange geplanten Angriff auf die weitverbreitete Linux-Software “liblzma”.

    Da liblzma in vielen Linux-Versionen der Fernwartungssoftware OpenSSH verwendet wird, handelt es sich um eine besonders gefährliche Backdoor. Aufgedeckt wurde dieser Angriff nur durch Zufall, da einem Entwickler aufgefallen ist, dass der OpenSSH-Login plötzlich 500 Millisekunden länger gedauert hat.

    Dank ihm ist die IT-Welt gerade sehr knapp an einer IT-Sicherheitskatastrophe vorbeigeschrammt.

    #LutraKnows #ITSicherheit #xz #liblzma #backdoor

  10. Backdoors (engl. für “Hintertür”) in Software sind geheime Zugänge, die von Entwicklern absichtlich eingebaut werden. Sie dienen dazu, auf ein System zuzugreifen, unter der Umgehung der üblichen Sicherheitsmaßnahmen. Beispielsweise um ein System per Fernwartung zu steuern.

    Diese Hintertüren können aber natürlich auch von Angreifern ausgenutzt werden, um unbefugten Zugriff auf das System und seine Daten zu erlangen.

    Aktuell gibt es ein gutes und sehr gefährliches Beispiel für eine Backdoor. Es handelt sich dabei scheinbar um einen lange geplanten Angriff auf die weitverbreitete Linux-Software “liblzma”.

    Da liblzma in vielen Linux-Versionen der Fernwartungssoftware OpenSSH verwendet wird, handelt es sich um eine besonders gefährliche Backdoor. Aufgedeckt wurde dieser Angriff nur durch Zufall, da einem Entwickler aufgefallen ist, dass der OpenSSH-Login plötzlich 500 Millisekunden länger gedauert hat.

    Dank ihm ist die IT-Welt gerade sehr knapp an einer IT-Sicherheitskatastrophe vorbeigeschrammt.

    #LutraKnows #ITSicherheit #xz #liblzma #backdoor

  11. Backdoors (engl. für “Hintertür”) in Software sind geheime Zugänge, die von Entwicklern absichtlich eingebaut werden. Sie dienen dazu, auf ein System zuzugreifen, unter der Umgehung der üblichen Sicherheitsmaßnahmen. Beispielsweise um ein System per Fernwartung zu steuern.

    Diese Hintertüren können aber natürlich auch von Angreifern ausgenutzt werden, um unbefugten Zugriff auf das System und seine Daten zu erlangen.

    Aktuell gibt es ein gutes und sehr gefährliches Beispiel für eine Backdoor. Es handelt sich dabei scheinbar um einen lange geplanten Angriff auf die weitverbreitete Linux-Software “liblzma”.

    Da liblzma in vielen Linux-Versionen der Fernwartungssoftware OpenSSH verwendet wird, handelt es sich um eine besonders gefährliche Backdoor. Aufgedeckt wurde dieser Angriff nur durch Zufall, da einem Entwickler aufgefallen ist, dass der OpenSSH-Login plötzlich 500 Millisekunden länger gedauert hat.

    Dank ihm ist die IT-Welt gerade sehr knapp an einer IT-Sicherheitskatastrophe vorbeigeschrammt.

    #LutraKnows #ITSicherheit #xz #liblzma #backdoor

  12. Backdoors (engl. für “Hintertür”) in Software sind geheime Zugänge, die von Entwicklern absichtlich eingebaut werden. Sie dienen dazu, auf ein System zuzugreifen, unter der Umgehung der üblichen Sicherheitsmaßnahmen. Beispielsweise um ein System per Fernwartung zu steuern.

    Diese Hintertüren können aber natürlich auch von Angreifern ausgenutzt werden, um unbefugten Zugriff auf das System und seine Daten zu erlangen.

    Aktuell gibt es ein gutes und sehr gefährliches Beispiel für eine Backdoor. Es handelt sich dabei scheinbar um einen lange geplanten Angriff auf die weitverbreitete Linux-Software “liblzma”.

    Da liblzma in vielen Linux-Versionen der Fernwartungssoftware OpenSSH verwendet wird, handelt es sich um eine besonders gefährliche Backdoor. Aufgedeckt wurde dieser Angriff nur durch Zufall, da einem Entwickler aufgefallen ist, dass der OpenSSH-Login plötzlich 500 Millisekunden länger gedauert hat.

    Dank ihm ist die IT-Welt gerade sehr knapp an einer IT-Sicherheitskatastrophe vorbeigeschrammt.

    #LutraKnows #ITSicherheit #xz #liblzma #backdoor

  13. Backdoors (engl. für “Hintertür”) in Software sind geheime Zugänge, die von Entwicklern absichtlich eingebaut werden. Sie dienen dazu, auf ein System zuzugreifen, unter der Umgehung der üblichen Sicherheitsmaßnahmen. Beispielsweise um ein System per Fernwartung zu steuern.

    Diese Hintertüren können aber natürlich auch von Angreifern ausgenutzt werden, um unbefugten Zugriff auf das System und seine Daten zu erlangen.

    Aktuell gibt es ein gutes und sehr gefährliches Beispiel für eine Backdoor. Es handelt sich dabei scheinbar um einen lange geplanten Angriff auf die weitverbreitete Linux-Software “liblzma”.

    Da liblzma in vielen Linux-Versionen der Fernwartungssoftware OpenSSH verwendet wird, handelt es sich um eine besonders gefährliche Backdoor. Aufgedeckt wurde dieser Angriff nur durch Zufall, da einem Entwickler aufgefallen ist, dass der OpenSSH-Login plötzlich 500 Millisekunden länger gedauert hat.

    Dank ihm ist die IT-Welt gerade sehr knapp an einer IT-Sicherheitskatastrophe vorbeigeschrammt.

    #LutraKnows #ITSicherheit #xz #liblzma #backdoor

  14. Eine Programmierer mit Burn-out und psychischen Problemen, ein Nerd und eine verhinderte Vollkatastrophe in der digitalen Welt. Das wird die IT-Welt insgesamt noch lange beschäftigen, weit über die entdeckte und gerade noch rechtzeitig geschlossene Hintertür hinaus.

    #ITSicherheit #SSH #liblzma

    heise.de/hintergrund/Die-xz-Hi

  15. @neilmadden

    I didn't say not possible. I countered the idea that the world where we do that is the world that we live in.

    The world that we live in is the one where the writers of libsystemd touted that the problem had been fixed, and the fix turns out to be bodges with C macros and wrappers where it's now actually *harder* to tell statically, either with ldd or by searching src/libsystemd for a call to dlopen(), that libsystemd is using #liblzma or some other.

    github.com/systemd/systemd/tre

  16. @dalias

    Here's an experiment to run.

    Use static analysis to find out how many and which shared libraries the current version of libsystemd, advertized as avoiding the #liblzma/#xz backdoor, can potentially use.

    You are allowed to grep src/libsystemd for calls to dlopen. (-:

    github.com/systemd/systemd/tre

  17. @neilmadden @ska

    I'd say, in stark contrast, it is the world where we do technical fixes with the operating system and the programming language that we do not get to live in.

    The world that we actually live in is the world where there are actually several dlopen()ed libraries used by libsystemd, but you won't find a single call to that function in any of its source files.

    Instead, the load of #liblzma is inside a wrapper inside a C macro inside a dlopen_lz4() function inside a helper.

    #xz

  18. Still amazed the reaction to this #xz #liblzma exploit is “phew! We dodged a bullet” or “corpos need to fund OSS they depend on!” and not “how do we safely integrate secure applications into our insecure systems?” The attack vector this exploit depends on was made possible because OS vendors patched OpenSSH to make it work with Systemd 🤯
    The solution isn’t to find better ways of defending against it, but to make sure it can never happen in the first place.

  19. XZ Backdoor: Times, damned times, and scams

    There has been a recent backdoor found in the xz/liblzma tarball. In what is likely one of the largest breaches of trust in the free software ecosystem, this backdoor is likely to have been put in by Jia Tan, a long-time maintainer of xz. Throughout his tenure as a maintainer, Jia remained relatively mysterious — as is not uncommon in the community, little beyond his name (which is likely a lie) is known about him. Generally, anonymity in the free software sphere is a good thing: software is inherently based on accomplishment and merit, and there is no reason to know anything about a person’s identity. However, in this case, where someone built up the trust of a community for years and then abused it, it is interesting to see who they are. Luckily for us, Jia’s activity does provide some metadata which we can potentially use to learn more about him. So here’s an analysis on what we can learn from his work patterns and time zone.
    I think that is what Jia Tan did. Based on his name, he wanted people to believe he is Asian — specifically Chinese— and the vast majority of his commits (440) appear to have a UTC+08 time stamp. The +0800 is likely CST, the time zone of China (or Indonesia or Philippines or Western Australia), given almost no one lives in Siberia and the Gobi desert.

    However, I believe that he is actually from somewhere in the UTC+02 (winter)/UTC+03 (DST) timezone, which includes Eastern Europe (EET), but also Israel (IST), and some others. Forging time zones would be easy — no need to do any math or delay any commits. He likely just changed his system time to Chinese time every time he committed.

    We see him usually working 9 am to 6 pm (adjusted to EET). This makes much more sense than someone working at midnight and 1 am on a Tuesday night (non-adjusted, using UTC+08).

    Except sometimes, he forgot to change his time zone. There are 3 commits and 6 commits, respectively, with UTC+02 and UTC+03. The UTC+02 time zones match perfectly with the winter time (February and November), while the UTC+03 matches with summer (Jun, Jul, and early October). This matches perfectly with the daylight savings time switchover that happens in Eastern Europe; we see a switch to +0200 in the winter (past the last weekend of October) and +0300 in the summer (past the last Sunday in March). Incidentally, this seems to be the same time zone as Lasse Collin and Hans Jansen.


    #xz #lzma #liblzma #backdoor #linux

  20. #JustInCase I have mirrored @thesamesam gist at gist.github.com/thesamesam/223 (the xz backdoor/exploit FAQ) locally and on codeberg.org/jwildeboer/gists/ Will setup some sort of automatic update script later. I don't think Github will somehow interfere with this FAQ, but hey, better safe than sorry and stuff :)

    This is just a FYI. Please do NOT use my manual mirror of the FAQ and bookmark ONLY the original source.

    #CVE20243094 #xz #liblzma #backdoor

  21. If you really care about the #xz #liblzma backdoor, the IMHO (In My Humble Opinion) best source of information is the FAQ at gist.github.com/thesamesam/223 which gets continuous updates and keeps track of the fallout and ongoing work.

    However — do not read the comments on that gist, as a lot of not-so-well informed but very motivated people try to add their .02.

  22. #xz #liblzma backdoor/exploit, CVE-2024-3094

    Short update: the best source for up2date information on the history, analysis, fallout and moving forward is now gist.github.com/thesamesam/223

    As expected, a lot of motivated but not well-informed or qualified people in the comments are adding fuel to a fire that is effectively under control and almost extinguished, so when you read that FAQ, please ignore most of the comments under it.

  23. CW: Meinung

    Wenn ein Exploit sich nicht vom regulären Build-System unterscheiden lässt ist vielleicht auch das Tooling überdenkenswert #liblzma #cve20243094

  24. The backdoor's source code ?

    it was on GitHub
    in a commit visible in a public repo

    therefore

    OpenAI might have been training ChatGPT on it *already*

    or other folks training their own 'code gen' LLMs on it

    "But I can just blindly trust whatever code snippet that this LLM recommends! Right? Right?!"

    *cough*

    #JiaT75
    #cve20243094
    #xz
    #lzma
    #liblzma
    #backdoor
    #openssh

    #ai
    #llm
    #ChatGpT
    #OpenAI
    #CoPilot
    #GitHub
    #codegen

  25. one of today's lessons is that if each FOSS package had their own test suite for performance regressions one might catch an odd spike in CPU/latency/memory/network that is a symptom of a backdoor or attack attempt. if its new AND unexpected one should dig in

    I'm the author of a FOSS Golang latency instrumentation lib designed especially to be used by perf regression tests:
    github.com/mkramlich/LatLearn

    #cve20243094
    #xz
    #lzma
    #liblzma
    #backdoor
    #openssh

    #Golang
    #latency
    #performance
    #Regressions