Es wird empfohlen sofort upzudaten,
bis jetzt sieht es nicht ganz so dramatisch aus, das ggf. anvisierte sshd Paket unter Arch scheint nicht betroffen zu sein.
https://archlinux.org/news/the-xz-package-has-been-backdoored/
Es wird empfohlen sofort upzudaten,
bis jetzt sieht es nicht ganz so dramatisch aus, das ggf. anvisierte sshd Paket unter Arch scheint nicht betroffen zu sein.
https://archlinux.org/news/the-xz-package-has-been-backdoored/
Mehr Lesestoff zu CVE-2024-3094, da es nicht nur Arch betrifft: [oss-security] backdoor in upstream xz/liblzma leading to ssh server compromise
Siehe auch:
Soweit ich sehen kann, betrifft dies aber nicht stable Versionen von Distributionen wie beispielsweise Debian 12, oder? Zumindest lese ich es so raus, dass es dort noch nicht commited/ausgerollt wurde .
Soweit ich sehen kann, betrifft dies aber nicht stable Versionen von Distributionen wie beispielsweise Debian 12, oder?
Auf Stable Distributionen bezogen: Korrekt. Bei Rolling Releases sieht es jedoch teilweise anders aus!
Zum Beispiel Debian 13 (Trixie / Testing) war laut Changelog offenbar schon betroffen! Und das wäre in vielen Umgebungen nicht so ungewöhnlich, wenn man es antrifft.
ZitatAlles anzeigenxz-utils (5.6.1+really5.4.5-1) unstable; urgency=critical
* Non-maintainer upload by the Security Team.
* Revert back to the 5.4.5-0.2 version
-- Salvatore Bonaccorso <carnil@debian.org> Thu, 28 Mar 2024 15:59:38 +0100
xz-utils (5.6.1-1) unstable; urgency=medium
* Non-maintainer upload.
* Import 5.6.1 (Closes: #1067708).
* Takeover maintenance of the package.
-- Sebastian Andrzej Siewior <sebastian@breakpoint.cc> Wed, 27 Mar 2024 22:53:21 +0100
xz-utils (5.6.0-0.2) unstable; urgency=medium
* Non-maintainer upload.
* Move xz's output of reduced threads to debug output.
* Add missing RISC-V on the filter list in the man page.
-- Sebastian Andrzej Siewior <sebastian@breakpoint.cc> Wed, 28 Feb 2024 20:03:45 +0100
xz-utils (5.6.0-0.1) unstable; urgency=medium
* Non-maintainer upload.
* Import 5.6.0
* Add Breaks on pristine-tar because of the different default behaviour
regarding the -T argument.
* Upload to unstable.
-- Sebastian Andrzej Siewior <sebastian@breakpoint.cc> Mon, 26 Feb 2024 07:47:01 +0100
xz-utils (5.5.2beta-1) experimental; urgency=medium
* Non-maintainer upload.
* Import 5.5.2beta
* Mark liblzma-doc multi-arch foreign.
* Update copyright file, most files are now under 0BSD.
-- Sebastian Andrzej Siewior <sebastian@breakpoint.cc> Thu, 15 Feb 2024 21:42:23 +0100
xz-utils (5.5.1alpha-0.1) experimental; urgency=medium
* Non-maintainer upload.
* Import 5.5.1alpha.
* Add new symbol.
-- Sebastian Andrzej Siewior <sebastian@breakpoint.cc> Wed, 31 Jan 2024 21:44:23 +0100
Siehe auch:
Ich muss nachher mal meine Trixie Entwicklungs-VM kontrollieren. Die ist allerdings sowieso offline läuft nur bei Bedarf… (EDIT: Jep, ist betroffen.)
Hier gibt es noch ein paar interessante Details dazu: https://blog.holz.nu/2024/03/29/0.html
Eins ist sicher, der BND war es nicht.
Regelmäßig aktualisiert, mit einigen Verweisen in den Kommentaren: https://gist.github.com/thesam…5a074ebc3dce9ee78baad9e27
Übersichtsgrafik: