Das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI warnt in
einer offiziellen Cybersicherheitswarnung vor einer "kritischen Hintertür" in den "XZ Utils"-Tools für Linux, welche von den meisten Linux-Distributoren verwendet werden. Die Hintertür soll es Angreifern mit einem bestimmten privaten Schlüssel ermöglichen, aus der Ferne auf anfällige Systeme und ohne Authentifizierung Schadcode in einen OpenSSH-Server (SSHD) einzuschleusen.
Der Open-Source-Anbieter
Red Hat, der die XZ-Tools für Linux anbietet, hat bereits am
Karfreitag auf seiner Website eine Sicherheitsmeldung veröffentlicht und warnte mit den Worten: "Bitte stellen Sie umgehend die Nutzung aller Fedora Rawhide-Instanzen für berufliche oder private Aktivitäten ein". Fedora Rawhide ist die Entwicklungsdistribution von Fedora Linux.
Das BSI fordert Systemadministratoren auf, Gegenmassnahmen zu ergreifen. Die Schwachstelle wurde mit dem höchsten CVSS-Wert (10 von 10) und somit als "kritisch" eingestuft. Die Sicherheitslücke trägt die Kennzeichnung
CVE-2024-3094. Entdeckt wurde die Backdoor vom Software-Ingenieur Andreas Freund, der in den USA für Microsoft arbeitet. Wie Freund
auf dieser Website ausführt, sind die Versionen 5.6.0 und 5.6.1 von "XZ Utils" betroffen.
(cma)