  |
Za poslednú hodinu: 33 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Utorok, 30. apríla 2024, dnes má meniny Anastázia |
|
Pozor, v softvéri prítomnom v linuxových distribúciách sú zadné vrátka
Linux
Incident bol detekovaný skôr ako sa škodlivé verzie stihli dostať do stabilných verzií najväčších distribúcií. Odhalený bol ale kvôli prejavom škodlivého kódu, ktoré sa dajú považovať za chybu útočníkov, a dopady incidentu tak mohli byť oveľa vážnejšie. Stále ide zrejme o najväčší známy incident podobného typu za dlhú dobu, keď v poslednom období zrejme neprišlo k incidentu takéhoto rozsahu týkajúceho sa tak široko používaného softvéru. Na škodlivý kód upozornil včera Andres Freund, ktorý ho identifikoval. Nachádza sa v oficiálnych balíčkoch zdrojových kódov nástroja xz vo verzii 5.6.0 a 5.6.1, verzia 5.6.0 bola vydaná zrejme 24. februára. Pri kompilovaní týchto zdrojových kódov sa pri splnení niektorých podmienok dostane škodlivý kód do výsledného skompilovaného softvéru a takto sa dostal do viacerých distribúcií. Škodlivý kód je v zdrojových kódoch prítomný v podobe binárneho kódu maskovaného ako testovacie .xz a .lzma súbory. Kód je tzv. obfuskovaný, teda výrazne znečitateľný rozličnými metódami. Zatiaľ zrejme nebola zverejnená analýza čo škodlivý kód presne robí, podľa zistení Freunda a následne informácií distribúcií cieli minimálne na OpenSSH server a aktivuje sa pri prihlasovaní k OpenSSH serveru na počítači s infikovaným xz. Freund tak tento škodlivý kód označil za zadné vrátka, zatiaľ ale nebolo detailne verejne potvrdené či a ako presne umožňuje neautorizovaný prístup na počítače s infikovaným xz cez sshd server. Freund si všimol problematické správanie, keď pri infikovanom xz prihlasovanie k sshd trvalo výrazne dlhšie, a pri zisťovaní príčiny našiel uvedený škodlivý kód. xz je open source nástroj pre kompresiu a dekompresiu pomocou kompresného algoritmu LZMA, obsahuje aj knižnicu liblzma používanú mnohými softvérmi. Originálny OpenSSH server ju podľa informácií nevyužíva, distribúcie používajúce systemd majú OpenSSH ale upravovať pre podporu systemd notifikácií, systemd používa liblzma a tým v nich sshd používa aj liblzma. Keďže zatiaľ nebola zverejnená analýza tohto škodlivého kódu, nie je známe čo presne realizuje a či sa dá zneužiť aj inými spôsobmi ako cez sshd. Verzie xz so škodlivým kódom sa stihli dostať už do viacerých distribúcií, vzhľadom na ich nedávne vydanie zatiaľ typicky v prípade klasických distribúcií iba do ich testovacích verzií. Mohli sa ale dostať do rolling distribúcií aktualizujúcich použité softvéry priebežne a dostali sa minimálne do populárnej distribúcie Arch Linux a tiež do Fedora Rawhide. Dostali sa aj do testovacích verzií dvoch významných distribúcií dvoch hlavných vetiev linuxových distribúcií, Fedory a Debianu. Podľa oznámenia Red Hatu sa dostali do spomínanej Fedora Rawhide, vývojovej verzie budúcej verzie Fedory 41 a aktualizáciu na verziu 5.6.0 mohli dostať aj inštalácie Fedory 40, ktorej beta verzia bola vydaná tento týždeň. V prípade Fedory 40 ale výsledné binárne súbory podľa oznámenia Red Hatu zrejme neboli kompromitované, keď sa pri zostavovaní tohto balíčka do nich škodlivý kód nedostal. V prípade Debianu boli podľa oznámenia kompromitované balíčky vo vývojových verziách testing, unstable a experimental. V prípade Arch Linuxu boli podľa oznámenia kompromitované verzie dostupné cez aktualizácie a tiež v inštalačnom médiu z 1. marca a v ďalších obrazoch distribúcie. V prípade Arch Linuxu podľa vývojárov ich verzia openssh nepoužíva liblzma a popísaný spôsob útoku nie je v Arch Linuxe možný, iné spôsoby zneužitia ale zatiaľ neboli vylúčené a užívateľom je samozrejme odporúčané odstrániť škodlivý kód z ich systémov. Tvorcovia distribúcií samozrejme vydávajú alebo už vydali aktualizácie, ktoré sa typicky vracajú k verzii xz 5.4. Red Hat užívateľom Fedora 41 a Fedora Rawhide včera odporúčal zatiaľ okamžite prestať využívať systémy s týmito distribúciami. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
