Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Update: Kritische Schwachstelle in xz für Linux entdeckt

- Warnmeldung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Sicherheitslücke im Datenkomprimierungsformat xz für Linux. Details zu einer potenziellen Ausnutzung sind bisher nicht bekannt. Das BSI empfiehlt Mitigationsmaßnahmen.
Teil eines Bildschirms, auf dem das Wort Malware mit Warnsymbol erscheint

© Adobe Stock

Die Warnmeldung wurde am 04. April 2024 aufgrund weiterführender Informationen aktualisiert. 

Kritische Backdoor in xz für Linux

Laut einer BSI-Cybersicherheitswarnung vom 30. März 2024 habe der Open-Source-Anbieter Red Hat maliziösen Code in xz für Linux entdeckt. In einer Bekanntgabe vom 29. März 2024 berichtet Red Hat, dass die Versionen 5.6.0 und 5.6.1 der xz-Tools und xz-Bibliotheken betroffen seien. Die daraus resultierende kritische Schwachstelle CVE-2024-3094 hat den höchsten CVSS-Score 10/10. 

Wenn eine der maliziösen xz-Versionen installiert ist, können Angreifende über CVE-2024-3094 in die Linux-Systeme eindringen und die Systeme wie ein autorisierter Administrator vollständig kontrollieren.

Betroffene Programme von Red Hat seien bisher nur Fedora 40 und 41 sowie Fedora Rawhide. Beide Programme sollten sofort gestoppt werden. xz sollte auf eine ältere, stabile Version wie 5.4.6 zurückgesetzt werden. Danach sollte das Linux-System oder der OpenSSH-Server neu gestartet werden. Upgrades auf die xz-Versionen 5.6.x sollten nicht vorgenommen werden. Red Hat Enterprise Linux (RHEL) sei nicht betroffen.

Liste betroffener Linux-Systeme

  • Alpine: Edge mit xz-Versionen 5.6.1-r0 und 5.6.1-r1
  • Arch: Versionen mit xz 5.6.0-1 
  • Debian: Testing-, Unstable- (sid) und Experimental-Releases mit XZ-Utils 5.5.1alpha-0.1 bis einschließlich 5.6.1-1
  • Fedora: 40, 41 und Rawhide Releases mit xz-Versionen xz-5.6.0- und xz-5.6.1-
  • Gentoo: Versionen mit XZ-Utils 5.6.0 und 5.6.1
  • Kali: Versionen, in denen zwischen dem 26. und 29. März 2024 XZ-Utils 5.6.0-0.2 installiert wurde.
  • OpenSuse: Tumbleweed Releases mit xz-5.6.0 und xz-5.6.1

Linux-Administratoren können prüfen, welche Version von xz installiert ist, indem sie ihren Paketmanager abfragen oder das folgende Shell-Skript ausführen:

for xz_p in $(type -a xz | awk '{print $NF}' | uniq); do strings "$xz_p" | grep "xz (XZ Utils)" || echo "No match found for $xz_p"; done

Weitere Details und Prüfmethoden erfahren Sie in der verlinkten Cybersicherheitswarnung des BSI: 

Hintergrund zur Sicherheitslücke CVE-2024-3094

Am 1. April 2024 berichtete die Nachrichtenseite Winfuture, dass die Sicherheitslücke CVE-2024-3094 und deren Folgen das Resultat eines jahrelang geplanten Angriffs seien. Winfuture spricht von einem der "größten Angriffe auf Linux-Systeme jemals". Initiator sei ein Nutzer namens Jia Tan, der seit 2021 an XZ-Utils mitgearbeitet habe. Hinter diesem Alias werde eine staatliche Gruppierung vermutet, wobei die Zugehörigkeit nicht geklärt sei. Die Spekulationen reichen von China über Iran und Israel bis Russland, so die Nachrichtenseite Wired. Jia Tan sei für die Erstellung der maliziösen Versionen 5.6.0 und 5.6.1 von xz im Februar 2024 verantwortlich. Diese Person und andere haben seitdem massiv bei Herstellern wie Red Hat, Debian und Ubuntu für die Installation der maliziösen xz-Versionen geworben.  

In den unten aufgeführten Links finden Sie ein Schaubild der Historie von Jia Tans Aktivitäten in Verbindung mit xz und CVE-2024-3094.

Weitere Informationen