Бэкдор в утилите xz
Обратите внимание: в xz обнаружили уязвимость, так что, если у вас стоит версия больше 5.4.2, нужно обновиться. В генте и кальке уже замаскировали старшие версии, при обновлении автоматом идет откат на версию без бэкдора.
Лишний повод перейти на более шустрый 7z.
Лишний повод перейти на более шустрый 7z.
Reply
ldd /usr/sbin/sshd
linux-vdso.so.1 (0x00007fff3d78b000)
libcrypt.so.2 => /usr/lib64/libcrypt.so.2 (0x00007f703b662000)
libpam.so.0 => /usr/lib64/libpam.so.0 (0x00007f703b650000)
libcrypto.so.3 => /usr/lib64/libcrypto.so.3 (0x00007f703b19e000)
libz.so.1 => /usr/lib64/libz.so.1 (0x00007f703b184000)
libc.so.6 => /lib64/libc.so.6 (0x00007f703afbd000)
/lib64/ld-linux-x86-64.so.2 (0x00007f703b7b7000)
Нет здесь никакого lzma…
Ну, а что до безопасности, если комп торчит в интернет, то вообще нельзя оставлять там аутентификацию ssh по паролям - исключительно по ключам. Я и руту запрещаю логин по паролю даже во внутренних сетях…
Reply
Reply
Reply
По старым stackoverflow пишут, что по умолчанию в ssh v2 это выключено, а если и включено, то через zlib.
man sshd_config:
Compression
Specifies whether compression is enabled after the user has authenticated successfully... The default is yes.
То есть, если уязвимость в компрессии и есть, то она может работать только для тех, кто уже авторизовался. Для обычных владельцев серверов, к которым кроме админов по ssh никто другой не подключается, проблема не представляет проблему ))
Reply
eix app-arch/xz-utils
[I] app-arch/xz-utils
Доступные версии: 5.4.2 [M]5.4.6-r1 [M]**9999*l {doc +extra-filters nls pgo static-libs verify-sig ABI_MIPS="n32 n64 o32" ABI_S390="32 64" ABI_X86="32 64 x32" CPU_FLAGS_ARM="crc32"}
Установленные версии: 5.4.2(17:05:23 31.03.2024)(extra-filters nls -doc -pgo -static-libs -verify-sig ABI_MIPS="-n32 -n64 -o32" ABI_S390="-32 -64" ABI_X86="32 64 -x32")
Домашняя страница: https://tukaani.org/xz/
Описание: Utils for managing LZMA compressed files
Так что, если и с 1 апреля, то как-то уж глобально… В кальке аналогично все.
Reply
Leave a comment